Gefälschte Zugriffe im Netz [Hintergrund]

Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe

Bei Cross-Site-Request-Forgery-Attacken (XSRF) setzen sich Angreifer über Sicherheitsvorkehrungen des Servers hinweg und schieben die Schuld einem Opfer zu, indem sie sich seine Identität zu eigen machen.

Wenn es nach Hackern ginge, würden sie am liebsten gar keine Spuren hinterlassen. Eine XRSF-Attacke (Cross-Site Request Forgery, XSRF, CSRF) basiert auf gefälschten Anfragen, die ausgeführt werden, weil der Webserver einem vermeintlich authentifizierten Benutzer Vertrauen schenkt. Diese Angriffsmethode ist auch unter den Namen One-Click-Attack, Sitejacking und Session Riding bekannt.

XSRF-Attacken können verheerende Folgen haben. Und da sie meistens keine verwertbaren Spuren hinterlassen, werden sie oft wiederholt ignoriert. Eine koreanische Handelsplattform nahm einen XSRF-Angriff auf ihre Infrastruktur offenbar erst zur Kenntnis, nachdem persönliche Daten von 18 Millionen Kunden in die falschen Hände gerieten.

Bei einem amerikanischen DVD-Verleihdienst konnten Angreifer die Lieferadresse in einem Benutzerkonto ändern und sich die Filme aussuchen. Bei einem niederländischen Onlinebanking-Dienst durften Angreifer aufgrund einer XSRF-Verwundbarkeit des Systems im Auftrag des Betroffenen Überweisungen ausführen und neue Bankkonten in seinem Namen eröffnen.

Kunden einer mexikanischen Bank, die einem HTML-Tag in einer E-Mail zum Opfer fielen, wurden durch ihre gehackten Heim-Router an eine gefälschte Webbanking- Adresse verwiesen. Diese Aufzählung ließe sich lange und mit vielen bekannten Namen fortsetzen.

Alle diese Attacken erfolgten scheinbar im Auftrag der betroffenen Benutzer und mit gültiger Authentifizierung durch die Web-Applikation.

Bilder und Javascript

Im Zentrum einerXSRF-Attacke steht üblicherweise ein HTML-<img>-Tag oder ein JavaScript-Image()-Object, der ganz automatisch den Aufruf einer Adresse des Opfer-Systems nach sich zieht, zum Beispiel:

<img src="http://onlinebanking/ueber
weisungsauftrag.cgi?von=123456741&an=456789123&betrag=8000&datum=20090901" width="0" height="0" />

Bösartiger Code dieser Art taucht in Spam-Nachrichten und im Quelltext von Webseiten auf und kann durch bloßes Lesen der verseuchten Inhalte ausgeführt werden. E-Mail-Clients wie Postbox können das Laden von Bildern in E-Mails aus unbekannten Quellen unterdrücken.

Spammer nutzen jedoch oft als Absenderadresse die E-Mail-Adresse des Empfängers und somit ist der Schutz wirkungslos. Der Code kann sogar auf eine echte Bilddatei verweisen. In diesem Fall wird der Aufruf mithilfe von HTTP-Redirection auf ein Skript umgelenkt und damit auch eine Firewall umgangen.

Sollte der betroffene Benutzer ein eigenes Konto auf dem Zielsystem besitzen und noch eingeloggt sein, wird ihn die Web-Applikation mithilfe der in seinem Webbrowser gespeicherten Cookies leicht wiedererkennen. So wird die gefälschte Anfrage - in unserem Beispiel eine Onlinebanking-Übberweisung - im Auftrag des völlig ahnungslosen Benutzers ausgeführt.Das Opfer wird seine Unschuld nicht beweisen können und muss daher mit hoher Wahrscheinlichkeit die Konsequenzen tragen. Während die XSRF-Attacke zulasten des betroffenen Benutzers fällt, ist dem Betreiber der Webseite die eigentliche Ursache des Problems nicht wirklich bewusst und so wird diese nicht behoben.

Sicherheit: Cross Site Request Forgery

© Archiv

Eine XSRF-Attacke auf den amerikanischen DVD-Verleihdienst Netflix resultierte in umfassenden Manipulationen zahlreicher Benutzeraccounts.

Mehr zum Thema

HTML5: Quick Reference Guide
Ratgeber: "HTML5"

Die wichtigsten Tags auf einen Blick: In unserem praktischen Arbeitsblatt finden Sie einen wertvollen Begleiter für die Umstellung Ihrer Webprojekte…
internet, webdesign, google, content, ranking, seo, suchmaschine
Ratgeber: Urheberrecht

Einzigartige Inhalte bieten Lesern Mehrwert und sind ein wichtiges Qualitätsmerkmal. Ärgerlich, wenn sich jemand durch Kopieren an fremden…
Die besten HTML5-Tipps
Neue Tipps & Tricks für blitz.io

Wer die Leistung einer Applikation ermitteln möchte, braucht keine Skripte zu schreiben, sondern kann einen der zahlreichen Online-Dienste…
image.jpg
Ratgeber: Webentwicklung

Die clientseitige Javascript-Entwicklung bietet fast keine Entwicklungsumgebungen und auch keine vernünftigen Werkzeuge zur Fehlersuche. Eine der…
internet, webdesign, meteor, webapplikationen
Ratgeber

Mit Meteor sollen Entwickler in kurzer Zeit Umgebungen für Webapplikationen erstellen können, ohne sich um lästige Details kümmern zu müssen. Wir…