Webapplikationen: Hintertüren für Hacker

» Von Cyrill Osterwalder, 03.04.2007 08:40. Letztes Update, 03.04.2007 08:43.

Begriffserklärung

XSS (Cross Site Scripting)

Mit Cross Site Scripting (XSS) ist eine neue Dimension des Phishing möglich. Beim XSS präsentiert ein Hacker dem Benutzer - etwa einer Online-Bank - eine Webseite, welche zwar vertrauenswürdig aussieht, es aber nicht ist. Gibt der Benutzer auf dieser Webseite seine persönlichen Daten ein, werden die Informationen abgefangen. Der Hacker verwendet die so ergaunerten Daten, um etwa auf der «richtigen» Banking-Site Geld auf sein eigenes Konto zu überweisen. Gleichzeitig hält er den Benutzer mit plausibel erscheinenden Antwort-Webseiten bei der Stange. Bei XSS-Attacken werden Sicherheitslücken der Webapplikation ausgenutzt. Durch die Kombination von XSS mit Phishing ist der Angriff in der Praxis viel schwieriger zu erkennen als bei herkömmlichen Phishing-Attacken.

Tipps für E-Banking-Benutzer

So schützen Sie sich beim E-Banking vor Hackern

Schliessen Sie vor jeder E-Banking-Sitzung den Web-Browser und öffnen Sie ihn erneut.

Üben Sie parallel zum E-Banking keine anderen Online-Tätigkeiten (E-Mail etc.) aus.

Geben Sie die URL der Bank manuell ein.

Halten Sie alle Updates für Browser und Betriebssystem jederzeit à jour.

Tipps für Website-Betreiber

So machen Sie Ihre Webapplikationen sicher

Betreiben Sie Ihre Webapplikationen nicht auf dem gleichen Server, auf dem auch geschäftskritische Transaktionen oder Anwendungen wie etwa eine Datenbank laufen.

Sorgen Sie dafür, dass die SSL-Verschlüsselungen (Secure Socket Layer) bereits vor dem Webserver entschlüsselt werden. Damit stellen Sie sicher, dass der Datenverkehr untersucht und notfalls abgewiesen werden kann.

Trennen Sie den Login-Dienst von der Business-Logik. Fehlmanipulationen bei der Authentifizierung haben dann keine Auswirkungen auf den Rest der Firmen-IT.

Sorgen Sie dafür, dass alle eingehenden Anfragen mit HTTP (Hypertext Transfer Protocol) und HTTPS (S für Secure) am besten auf Protokoll- und Datenebene detailliert gefiltert und validiert werden, bevor sie den Applikationsserver erreichen.

Der Webseitenbesuch (Session Handling) sollte heute wenn immer möglich mit der SSL Session ID organisiert werden und nicht über ein Session Cookie.

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.