Kriminelle nutzen verstärkt Browser um an Geld und Waren zu gelangen
- keine Bewertung
- 07.08.2008
- 1462 Hits
- Fehler melden
- Weiterempfehlen
Wie zahlreiche Sicherheitsexperten geht auch Jeremiah Grossman davon aus, dass raffinierte Angriffe auf Webserver mit strategischen Tools vorbei sind. Nun konzentrieren sich Kriminelle darauf, per Web-Browser an das Geld von Internet-Usern zu kommen. Nach Ansicht von Sicherheitsspezialist Grossman wird dies durch die weit verbreiteten Business Logic Flaws möglich, wie beispielsweise die fehlende Authentifizierung und den nicht geschützten Zugriff auf sehr vertrauliche Informationen.
Als trauriges Beispiel für diese Art von konsequenzenreichen Fehlern mag eine Schwachstelle in den Open-Source-Shopsystemen von xt:commerce und osCommerce dienen, die im Februar dieses Jahres auffiel. Durch diese mangelhafte Stelle war es möglich, dass den Hackern eine Bestellung und Auslieferung gelang, ohne dass eine Bezahlung erfolgte.
So ist es Kriminellen nun möglich - statt mit mühevollen SQL-Injection-Attacken auf die Datenbank des Servers oder aufwendigen Cross-Site-Scripting-Angriffen auf die User vorzugehen - mit einem recht übersichtlichen Know-How per Browser ihre hinterhältigen Machenschaften durchzuführen. Von zahlreichen Hackern wird bereits seit Jahren das sogenannte Forced Browsing praktiziert: die Hacker rufen "einfach" nirgendwo verlinkte Resourcen oder Seiten mit dem Browser auf. Leider "präsentiert" gerade der Suchmaschinen-"König" Google durchaus nicht selten wichtige Informationen, die so mancher Betreiber von Servern sehr gerne vertraulich behandelt wüsste.
Im Internet finden sich immer mehr Angebote auch von Dienstleistungen, logischerweise ist es damit für Kriminelle auch immer einfacher, viele angreifbare Anwendungen zu entdecken. Diese Aktionen von Hackern seien nicht unbedingt als illegal einzustufen, so der Sicherheitsexperte Grossman, da in vielen Fällen nur gegen einzelne Vertragsklauseln eines Anbieters verstoßen werde.
Leider ist es noch recht schwierig, sich gegen derartige Manipulationen zu wehren, was vor allem daran liegt, dass diese kein konkretes Paradigma zeigen, wie es etwa bei einem SQL-Injection-Angriff zu erkennen ist. So ist es für Web Application Firewalls (WAF) und Intrusion Prevention Systems (IPS) schwierig, diese Angriffe zu identifizieren und abzuwehren.
Petra Funk info@top-ranking-funk.com
