Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe
Bei Cross-Site-Request-Forgery-Attacken (XSRF) setzen sich Angreifer über Sicherheitsvorkehrungen des Servers hinweg und schieben die Schuld einem Opfer zu, indem sie sich seine Identität zu eigen machen.
- Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe
- Teil 2: Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe
- Teil 3: Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe
- Teil 4: Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe
- Teil 5: Erklärt: So nutzen Hacker Cross Site Request Forgery für Angriffe
Wenn es nach Hackern ginge, würden sie am liebsten gar keine Spuren hinterlassen. Eine XRSF-Attacke (Cross-Site Request Forgery, XSRF, CSRF) basiert auf gefälschten Anfragen, die ausgeführt werden, weil der Webserver einem vermeintlich authentifizierten Benutzer Vertrauen schenkt. Diese Angrif...
Wenn es nach Hackern ginge, würden sie am liebsten gar keine Spuren hinterlassen. Eine XRSF-Attacke (Cross-Site Request Forgery, XSRF, CSRF) basiert auf gefälschten Anfragen, die ausgeführt werden, weil der Webserver einem vermeintlich authentifizierten Benutzer Vertrauen schenkt. Diese Angriffsmethode ist auch unter den Namen One-Click-Attack, Sitejacking und Session Riding bekannt.
XSRF-Attacken können verheerende Folgen haben. Und da sie meistens keine verwertbaren Spuren hinterlassen, werden sie oft wiederholt ignoriert. Eine koreanische Handelsplattform nahm einen XSRF-Angriff auf ihre Infrastruktur offenbar erst zur Kenntnis, nachdem persönliche Daten von 18 Millionen Kunden in die falschen Hände gerieten.
Bei einem amerikanischen DVD-Verleihdienst konnten Angreifer die Lieferadresse in einem Benutzerkonto ändern und sich die Filme aussuchen. Bei einem niederländischen Onlinebanking-Dienst durften Angreifer aufgrund einer XSRF-Verwundbarkeit des Systems im Auftrag des Betroffenen Überweisungen ausführen und neue Bankkonten in seinem Namen eröffnen.
Kunden einer mexikanischen Bank, die einem HTML-Tag in einer E-Mail zum Opfer fielen, wurden durch ihre gehackten Heim-Router an eine gefälschte Webbanking- Adresse verwiesen. Diese Aufzählung ließe sich lange und mit vielen bekannten Namen fortsetzen.
Alle diese Attacken erfolgten scheinbar im Auftrag der betroffenen Benutzer und mit gültiger Authentifizierung durch die Web-Applikation.
Bilder und Javascript
Im Zentrum einerXSRF-Attacke steht üblicherweise ein HTML-<img>-Tag oder ein JavaScript-Image()-Object, der ganz automatisch den Aufruf einer Adresse des Opfer-Systems nach sich zieht, zum Beispiel:
<img src="https://onlinebanking/ueber
weisungsauftrag.cgi?von=123456741&an=456789123&betrag=8000&datum=20090901" width="0" height="0" />Bösartiger Code dieser Art taucht in Spam-Nachrichten und im Quelltext von Webseiten auf und kann durch bloßes Lesen der verseuchten Inhalte ausgeführt werden. E-Mail-Clients wie Postbox können das Laden von Bildern in E-Mails aus unbekannten Quellen unterdrücken.
Spammer nutzen jedoch oft als Absenderadresse die E-Mail-Adresse des Empfängers und somit ist der Schutz wirkungslos. Der Code kann sogar auf eine echte Bilddatei verweisen. In diesem Fall wird der Aufruf mithilfe von HTTP-Redirection auf ein Skript umgelenkt und damit auch eine Firewall umgangen.
Sollte der betroffene Benutzer ein eigenes Konto auf dem Zielsystem besitzen und noch eingeloggt sein, wird ihn die Web-Applikation mithilfe der in seinem Webbrowser gespeicherten Cookies leicht wiedererkennen. So wird die gefälschte Anfrage - in unserem Beispiel eine Onlinebanking-Übberweisung - im Auftrag des völlig ahnungslosen Benutzers ausgeführt.Das Opfer wird seine Unschuld nicht beweisen können und muss daher mit hoher Wahrscheinlichkeit die Konsequenzen tragen. Während die XSRF-Attacke zulasten des betroffenen Benutzers fällt, ist dem Betreiber der Webseite die eigentliche Ursache des Problems nicht wirklich bewusst und so wird diese nicht behoben.
