Skip to content

Neues eBook: "Websecurity - Angriffe mit SSRF, CSRF und XML"

Bei entwickler.press ist ein neues eBook von mir erschienen: "Websecurity - Angriffe mit SSRF, CSRF und XML" (ISBN: 978-3-86802-569-9, Preis: 2,99 €, erhältlich in den üblichen eBook-Shops).

Der Shortcut beschäftigt sich mit drei oft unterschätzten Angriffen bzw. Schwachstellen.

Da wäre zunächst die Server-Side Request Forgery (SSRF). Haben Sie davon schon mal gehört? Nicht? Da haben Sie aber Glück, dass es den meisten Cyberkriminellen genauso geht, denn diese Schwachstellen haben das Potential, großen Schaden anzurichten.

Über SSRF können zum Beispiel alle Webanwendungen angegriffen werden, die einem Content Delivery Network wie zum Beispiel dem von Akamai vertrauen. Sofern das CDN eine Schwachstelle enthält, wie es bei Akamai der Fall war. Diese Schwachstelle wurde zwar behoben, aber wer weiß schon, wo noch überall welche darauf warten, entdeckt zu werden? Außerdem lassen sich die Angriffe über CDN unter Umständen auch auf anderen Dienste übertragen, denen die Webanwendungen in immer größeren Maßstab vertrauen.

Darüber hinaus lassen sich über SSRF auch eigentlich nicht aus dem Internet zugängliche Systeme angreifen. Der Angreifer muss nur einen Server, der eine Verbindung zum ihn nicht zugänglichen Server aufbauen kann, dazu bringen, seine Requests für ihn abzuschicken. Was über SSRF und meist in Verbindung mit XML-Schwachstellen mehr oder weniger problemlos möglich ist.

Mal abgesehen von den Angriffen über CDN betreffen die SSRF-Schwachstellen die Webanwendungen nur sekundär: Die Cyberkriminellen nutzen diese Schwachstellen in den Webanwendungen nur, um darüber ihre Angriffe an Server schicken zu lassen, die sie selbst nicht erreichen können. Aber diese Server vertrauen den Webanwendungen, und wenn dieses Vertrauen durch einen Angriff missbraucht wird, ist das zumindest peinlich. Zumal sich der Angegriffene zunächst an den wenden wird, von dem der Angriff in seinen Augen ausging: Der Webanwendung und damit deren Betreibern und Entwicklern. Es gibt also mehr als genug Gründe, darauf zu achten, dass die eigene Webanwendung keine SSRF-Schwachstellen enthält.

Dann haben wir da die Cross-Side Request Forgery (CSRF). Die wurde erstmals 1988 beschrieben, damals noch unter dem Namen "Confused Deputy". 2001 wurde der Name Cross-Site Request Forgery für diese Art von Angriffen geprägt, und eigentlich sollte es entsprechende Schwachstellen ja wohl längst nicht mehr geben. Immerhin schreiben wir das Jahr 2015, und nach 14 Jahre sollte eigentlich jeder Webentwickler wissen, was CSRF ist und wie er seine Anwendung vor diesen Angriffen schützt.

Leider ist das aber ganz und gar nicht so, auch 2014 und 2015 wurden noch CSRF-Schwachstellen in Webanwendungen gefunden und neue Varianten der Angriffe auf den Sicherheitskonferenzen vorgeführt.

Wie wäre es mit einem Vorsatz für 2016: Prüfen Sie, ob Ihre Webanwendungen angreifbar sind, und wenn ja, beseitigen Sie die Schwachstellen.

Und zu guter Letzt geht es um XML, seine Schwachstellen und Angriffe darüber. Wie gefährlich XML sein kann werden Sie schon im ersten Kapitel sehen, denn SSRF-Angriffe nutzen oft XML, um Befehle einzuschleusen. Was allein schon Grund genug wäre, sich um die Sicherheit von XML zu kümmern.

Aber es gibt noch viel mehr Möglichkeiten, mit Hilfe vom XML Schaden anzurichten. Allein auf der Black Hat USA 2015 gab es drei(!) Vorträge rund um XML.

Wenn Sie sich bisher keine Gedanken darüber gemacht haben, ob die vom Benutzer gelieferten XML-Daten vielleicht gefährlich sind, werden Sie nach dem Lesen dieses Kapitels die entsprechenden Funktionen Ihrer Webanwendung mit anderen Augen sehen. Denn da, wo Sie nur ein komfortables Dateiformat für den Austausch für Informationen sehen, sehen die Cyberkriminellen ein Einfallstor für mögliche Angriffe.

Und hier noch die Links und Literaturverweise aus dem eBook:

Kapitel 1: SSRF – was ist das, was kann das, und ist das etwa gefährlich?

Kapitel 2: Cross-Site Request Forgery – Der "Confused Deputy 2015"

Kapitel 3: XML-Sicherheit – XXE und XSLT

Carsten Eilers

Trackbacks

Keine Trackbacks