Gefälschte Zugriffe im Netz [Hintergrund]
Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe
Bei Cross-Site-Request-Forgery-Attacken (XSRF) setzen sich Angreifer über Sicherheitsvorkehrungen des Servers hinweg und schieben die Schuld einem Opfer zu, indem sie sich seine Identität zu eigen machen.
- Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe
- Teil 2: Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe
- Teil 3: Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe
- Teil 4: Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe
- Teil 5: Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe
Wenn es nach Hackern ginge, würden sie am liebsten gar keine Spuren hinterlassen. Eine XRSF-Attacke (Cross-Site Request Forgery, XSRF, CSRF) basiert auf gefälschten Anfragen, die ausgeführt werden, weil der Webserver einem vermeintlich authentifizierten Benutzer Vertrauen schenkt. Diese Angriffsmethode ist auch unter den Namen One-Click-Attack, Sitejacking und Session Riding bekannt.
XSRF-Attacken können verheerende Folgen haben. Und da sie meistens keine verwertbaren Spuren hinterlassen, werden sie oft wiederholt ignoriert. Eine koreanische Handelsplattform nahm einen XSRF-Angriff auf ihre Infrastruktur offenbar erst zur Kenntnis, nachdem persönliche Daten von 18 Millionen Kunden in die falschen Hände gerieten.
Bei einem amerikanischen DVD-Verleihdienst konnten Angreifer die Lieferadresse in einem Benutzerkonto ändern und sich die Filme aussuchen. Bei einem niederländischen Onlinebanking-Dienst durften Angreifer aufgrund einer XSRF-Verwundbarkeit des Systems im Auftrag des Betroffenen Überweisungen ausführen und neue Bankkonten in seinem Namen eröffnen.
Kunden einer mexikanischen Bank, die einem HTML-Tag in einer E-Mail zum Opfer fielen, wurden durch ihre gehackten Heim-Router an eine gefälschte Webbanking- Adresse verwiesen. Diese Aufzählung ließe sich lange und mit vielen bekannten Namen fortsetzen.
Alle diese Attacken erfolgten scheinbar im Auftrag der betroffenen Benutzer und mit gültiger Authentifizierung durch die Web-Applikation.
Bilder und Javascript
Im Zentrum einerXSRF-Attacke steht üblicherweise ein HTML-<img>-Tag oder ein JavaScript-Image()-Object, der ganz automatisch den Aufruf einer Adresse des Opfer-Systems nach sich zieht, zum Beispiel:
<img src="http://onlinebanking/ueber
weisungsauftrag.cgi?von=123456741&an=456789123&betrag=8000&datum=20090901" width="0" height="0" />
Bösartiger Code dieser Art taucht in Spam-Nachrichten und im Quelltext von Webseiten auf und kann durch bloßes Lesen der verseuchten Inhalte ausgeführt werden. E-Mail-Clients wie Postbox können das Laden von Bildern in E-Mails aus unbekannten Quellen unterdrücken.
Spammer nutzen jedoch oft als Absenderadresse die E-Mail-Adresse des Empfängers und somit ist der Schutz wirkungslos. Der Code kann sogar auf eine echte Bilddatei verweisen. In diesem Fall wird der Aufruf mithilfe von HTTP-Redirection auf ein Skript umgelenkt und damit auch eine Firewall umgangen.
Sollte der betroffene Benutzer ein eigenes Konto auf dem Zielsystem besitzen und noch eingeloggt sein, wird ihn die Web-Applikation mithilfe der in seinem Webbrowser gespeicherten Cookies leicht wiedererkennen. So wird die gefälschte Anfrage - in unserem Beispiel eine Onlinebanking-Übberweisung - im Auftrag des völlig ahnungslosen Benutzers ausgeführt.Das Opfer wird seine Unschuld nicht beweisen können und muss daher mit hoher Wahrscheinlichkeit die Konsequenzen tragen. Während die XSRF-Attacke zulasten des betroffenen Benutzers fällt, ist dem Betreiber der Webseite die eigentliche Ursache des Problems nicht wirklich bewusst und so wird diese nicht behoben.
