Der Web-Browser als Tatwerkzeug
Nach Meinung eines Sicherheitsspezialisten sind die Tage ausgefeilter Angriffe auf Webserver mit speziellen Tools gezählt. Dank "Logical Business Flaws" in Web-Anwendungen soll für Kriminelle der Browser ausreichen, um ans Geld zu kommen.
- Daniel Bachfeld
Na, das kann ja heiter werden: Nach Meinung des Sicherheitsspezialisten Jeremiah Grossman sind die Tage ausgefeilter Angriffe auf Webserver mit speziellen Tools gezählt. Stattdessen soll der Web-Browser Kriminellen als Allzweckwaffe dienen, um Geld zu machen. Möglich wird dies nach Angaben von Grossman durch die weit verbreiteten Business Logic Flaws in Web-Anwendungen, also etwa fehlende Authentifizierung, ungeschützter Zugriff auf Informationen und so weiter. Bestes Beispiel für einen derartigen Fehler war im Februar dieses Jahres eine Schwachstelle in den Open-Source-Shopsystemen osCommerce und xt:commerce, bei denen sich durch Aufruf einer URL der Bezahlvorgang einfach übergehen ließ, die Bestellung aber trotzdem als gültig akzeptiert wurde.
Statt aufwendiger Cross-Site-Scripting-Angriffe auf Anwender und SQL-Injection-Attacken auf die Datenbank des Webservers soll nun ein wenig Hintergrundwissen reichen, um ans Geld oder an Waren zu kommen. Neu ist diese Art von Fehlern nicht, eine Spielart ist das seit Jahren von vielen Hackern praktizierte Forced Browsing, also dem Aufruf von eigentlich nirgendwo verlinkten Seiten oder Resourcen mit dem Browser. Insbesondere Google offenbart oftmals Informationen, ohne dass Webserver-Betreiber dies so gewollt hätten.
Da mittlerweile viele Anbieter ihre Dienstleistungen ins Internet verlagern, sei es laut Grossman nun einfacher als früher, viele verwundbare Anwendungen zu finden. Dabei sei das Vorgehen nicht einmal unbedingt illegal, der Angreifer würde in vielen Fällen nur die Vertragsbedingungen des Anbieters verletzen.
Sich vor solchen Angriffen zu schützen, ist relativ schwer, da sie kein konkretes Muster wie bei einer SQL-Injection-Attacke aufweisen. Normale Intrusion Prevention Systems (IPS) oder Web Application Firewalls (WAF) tun sich daher schwer, sie zu erkennen und abzuwehren. Bereits jetzt sollen Kriminelle die Lücken im großen Stil ausnutzen.
Grossman will auf der kommenden Black Hat in Las Vegas Details zu den Angriffen präsentieren. Dazu sollen auch bestimmte Affiliate-Netze gehören, bei denen im großen Stil über gefälschte Nutzeranmeldungen abgesahnt wird. Grossman will auch den Fall einer Bank vortragen, bei der über einen Business Logic Flaw 70.000 Dollar abhanden kamen.
Siehe dazu auch:
- Testing for business logic, Informationen des Open Web Application Security Project (OWASP)
- Seven Business Logic Flaws That Put Your Website At Risk, Paper von Jeremiah Grossman
(dab)
