Shortcuts - Websecurity - Angriffe mit SSRF, CSRF und XML


Erhältlich ab:  Dezember 2015

Autoren / Autorinnen: Shortcut Autorenteam

Dieser shortcut beschäftigt sich mit drei oft unterschätzten Angriffen bzw. Schwachstellen.

Da wäre zunächst die Server-Side Request Forgery (SSRF). Haben Sie davon schon mal gehört? Nicht? Da haben Sie aber Glück, dass es den meisten Cyberkriminellen genauso geht, denn diese Schwachstellen haben das Potenzial, großen Schaden anzurichten.

Über SSRF können zum Beispiel alle Webanwendungen angegriffen werden, die einem Content Delivery Network wie zum Beispiel dem von Akamai vertrauen. Sofern das CDN eine Schwachstelle enthält, wie es bei Akamai der Fall war. Diese Schwachstelle wurde zwar behoben, aber wer weiß schon, wo noch überall welche darauf warten, entdeckt zu werden? Außerdem lassen sich die Angriffe über CDN unter Umständen auch auf andere Dienste übertragen, denen die Webanwendungen in immer größerem Maße vertrauen.

Darüber hinaus lassen sich über SSRF auch Systeme angreifen, die eigentlich nicht aus dem Internet zugänglich sind. Der Angreifer muss nur einen Server, der eine Verbindung zum ihm nicht zugänglichen Server aufbauen kann, dazu bringen, seine Requests für ihn abzuschicken. Was über SSRF und meist in Verbindung mit XML-Schwachstellen mehr oder weniger problemlos möglich ist.

Mal abgesehen von den Angriffen über CDN betreffen die SSRF-Schwachstellen die Webanwendungen nur sekundär: Die Cyberkriminellen nutzen diese Schwachstellen in den Webanwendungen nur, um darüber ihre Angriffe an Server schicken zu lassen, die sie selbst nicht erreichen können. Aber diese Server vertrauen den Webanwendungen, und wenn dieses Vertrauen durch einen Angriff missbraucht wird, ist das zumindest peinlich, zumal sich der Angegriffene zunächst an den wenden wird, von dem der Angriff in seinen Augen ausging, und zwar von der Webanwendung. Somit wird er an deren Betreiber oder Entwickler herantreten. Es gibt also mehr als genug Gründe, darauf zu achten, dass die eigene Webanwendung keine SSRF-Schwachstellen enthält.

Dann haben wir da die Cross-Side Request Forgery (CSRF). Die wurde erstmals 1988 beschrieben, damals noch unter dem Namen „Confused Deputy“. 2001 wurde der Name Cross-Site Request Forgery für diese Art von Angriffen geprägt, und eigentlich sollte es entsprechende Schwachstellen ja wohl längst nicht mehr geben. Immerhin schreiben wir das Jahr 2015, und nach 14 Jahren sollte eigentlich jeder Webentwickler wissen, was CSRF ist und wie er seine Anwendung vor diesen Angriffen schützt. Leider ist das aber ganz und gar nicht so, auch 2014 und 2015 wurden noch CSRF-Schwachstellen in Webanwendungen gefunden und neue Varianten der Angriffe auf den Sicherheitskonferenzen vorgeführt.

Wie wäre es mit einem Vorsatz für 2016: Prüfen Sie, ob Ihre Webanwendungen angreifbar sind, und wenn ja, beseitigen Sie die Schwachstellen.

Und zu guter Letzt geht es um XML, seine Schwachstellen und Angriffe darüber. Wie gefährlich XML sein kann, werden Sie schon im ersten Kapitel sehen, denn SSRF-Angriffe nutzen oft XML, um Befehle einzuschleusen. Was allein schon Grund genug wäre, sich um die Sicherheit von XML zu kümmern.

Aber es gibt noch viel mehr Möglichkeiten, mit Hilfe von XML Schaden anzurichten. Allein auf der Black Hat USA 2015 gab es drei(!) Vorträge rund um XML.

Wenn Sie sich bisher keine Gedanken darüber gemacht haben, ob die vom Benutzer gelieferten XML-Daten vielleicht gefährlich sind, werden Sie nach dem Lesen dieses Kapitels die entsprechenden Funktionen Ihrer Webanwendung mit anderen Augen sehen. Denn da, wo Sie nur ein komfortables Dateiformat für den Austausch für Informationen sehen, sehen die Cyberkriminellen ein Einfallstor für mögliche Angriffe.

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang