Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

t3n 9

Neue Möglichkeiten der Interaktion benötigen einen verstärkten Schutz: Anwendungen im Web 2.0 absichern

    Neue Möglichkeiten der Interaktion benötigen einen verstärkten Schutz: Anwendungen im Web 2.0 absichern

Angriffe auf Webanwendungen mit Content Management Systemen oder Shops haben sich in den letzten Monaten zu einem Kernproblem entwickelt. Der Grund ist, dass je umfangreicher und sensibler die transportierten Daten sind, desto lukrativer wird auch der Versuch, sie auszuspionieren. Herkömmliche Sicherheitslösungen wie Firewalls oder IDS/IPS bieten dagegen nicht mehr in jedem Fall einen ausreichenden Schutz. Auch war das HTTP-Protokoll nie für komplexe Anwendungen konzipiert. Für Webentwickler heißt das: Augen auf und kreative Lösungen finden.

Zu den häufigsten Attacken auf Community-Sites gehört die „SQL-Injection“. Sie sieht auf den ersten Blick aus wie eine harmlose Anfrage. Wenn jedoch der Angreifer im Eingabefeld „Name“ statt des Nachnamens einen SQL-Befehl eintippt und der Befehl akzeptiert wird, kann er auf diesem Wege ohne Berechtigung sensible Informationen aus der Datenbank anfordern. Bösartige Requests in großer Menge können sogar ganze Webanwendungen lahmlegen. Ein Hacker könnte einen String übergeben, wie zum Beispiel „1 OR 1“:

SQL

$value = $_GET['value'];
$GLOBALS['TYPO3_DB']->exec_SELECTquery('*', $this->user_table, 'uid='.$value );

Listing 1

Die Abfrage endet dann folgendermaßen:

SQL

$GLOBALS['TYPO3_DB']->exec_SELECTquery('*', $this->user_table, 'uid=1 OR 1 );

Listing 2

Das liefert als Ergebnis alle rows von „$this->user_table“. Dagegen schützt nur die Validierung aller Eingaben, die bei der SQL-Abfrage genutzt werden.

Weitere Attacken

„Man-in-the-middle-Attacken“ sind sehr aufwändig und werden hauptsächlich gegen Banken verwendet. Dabei schaltet sich der Datendieb zwischen die beiden Kommunikationspartner – beispielsweise Verkäufer und Kunde. Da nach dem Janusprinzip beiden Teilnehmern der jeweils andere vorgespiegelt wird, gelingt es ihm, Datenströme an seine Adresse umzulenken.

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden