IT Security

Web Security: Wie schütze ich meinen Code vor Schadsoftware?

Sebastian Hardt erläutert in seinem TECH TALK Basic Web Security die häufigste Schadsoftware

TECH TALK Basic Web Security zum Thema Schadsoftware

Wofür stehen eigentlich die Kürzel XSS, CSRF oder der Begriff SQL Injection? Und was genau verbirgt sich dahinter? Software-Entwickler Sebastian Hardt gibt in seinem TECH TALK Basic Web Security nicht nur Antworten darauf, auf welchen Wegen Schadsoftware unseren Software-Code kompromittiert, sondern zeigt auch, was Software-Entwickler in Sachen Web Security tun können, um ihren Code vor solchen Angriffsmustern aus dem Netz zu schützen.

Beispiele für Schadsoftware und wie sie funktioniert

Cross-Site-Scripting

Als Cross-Site-Scripting (XSS) bezeichnet man eine Injektion/Einschleusung von Schadsoftware auf ansonsten gutartige Webseiten. Dazu sendet der Angreifer diesen bösartigen Code über eine Webapplikationen zu deren Nutzer, zumeist in Form eines Browser-Site-Scripts. Dabei macht er sich Sicherheitslücken zunutze, die bedauerlicherweise weit verbreitet sind und überall dort auftauchen können, wo eine Webapplikationen die Eingaben eines Nutzers weitergibt, ohne sie zu validieren oder zu verschlüsseln. Der Browser des Nutzers kann dabei nicht erkennen, dass es sich dabei um ein nicht vertrauenswürdiges Skript handelt und wird es entsprechend ausführen. Der Angreifer erhält dadurch Zugriff auf Cookies, Session Token oder andere sensible Daten, die im Browserprotokoll des Nutzers hinterlegt sind und mit der genutzen Webseite interagieren. Solche Skripte können sogar den Inhalt einer HTML-Seite überschreiben.

Cross-Site-Request Forgery

Cross-Site-Request Forgery (CSRF) ist eine Attacke, die den Nutzer dazu verleitet, auf einer vertrauenswürdigen Webseite, auf der er bereits angemeldet ist, Aktionen durchzuführen, die nicht in seinem, sondern im Interesse des Angreifers liegen. Mit den Mitteln des so genannten Social Engineerings – etwa dem Zusenden eines manipulierten Links via E-Mail oder Chat – wird der Nutzer dazu verführt, auf der Seite seines Vertrauens unwissentlich Vorgänge auszuführen, die seinen Absichten zuwiderlaufen. Hat er auf dieser Seite Administratorenrechte, kann dies die ganze Applikation gefährden.

SQL Injections

Unter SQL Injection versteht die IT-Welt das Einschleusen von SQL-Anfragen während der Eingabe von Nutzerdaten auf einer Webseite. Ist diese Einschleusung erfolgreich, kann sie anschließend sämtliche sensiblen Daten auf der zugrundeliegenden Datenbank der betroffenen Webseite nicht nur auslesen und modifizieren, sondern darüber hinaus auch administrative Operationen durchführen, Inhalte und Dateien im Datenbankmanagementsystem wieder herstellen und in manchen Fällen sogar Kommandos an das Betriebssystem ausgeben. Der SQL-Schadcode wird dabei auf der Ausführungsebene ausgeführt, wo auch die Nutzerdaten übertragen werden und wo folglich auch schadhafte SQL-Kommandos exekutiert werden können.

Ziele von Schadsoftware

Bedroht von Angriffen aus dem Netz sind praktisch alle Unternehmen und Privatpersonen, die am digitalen Leben teilnehmen. Der Fokus der Cyberkriminalität reicht von persönlichen Daten wie Nutzernamen, Passwörtern, Adress- und Kontodaten über Daten, die im Kontext von Wirtschafts- und Industriespionage interessant sind, bis hin zu den Daten möglicher Terrorziele. In der Gefahrenzone für Schadsoftware bewegen sich also Einzelpersonen ebenso wie Körperschaften. Prominente Beispiele für Sicherheitslücken und Cyberangriffe gibt es viele. Sie reichen von staatlichen Einrichtungen über große Online-Händler und Bezahlsysteme bis hin zu Verkehrsbetrieben und Kraftwerken.

Sebastian Hardt zeigt in seinem TECH TALK Basic Web Security, welche Möglichkeiten Software-Entwickler haben, das Risiko solcher Angriffe aus dem Netz zu minimieren. Denn mit den richtigen Kenntnissen im Bereich Web Security lassen sich Maßnahmen ergreifen, die Angriffswahrscheinlichkeit, Angriffsvektoren und Angriffsfolgen substanziell verringern.

IT-Security Meetup Kassel

Auch das IT-Security Meetup Kassel befasst sich mit dem Thema IT-Sicherheit. Einblicke in die Arbeit des Netzwerks gibt es hier. Das Programm gibt es hier.

(jw)

Sebastian Hardt

Sebastian Hardt