World Wide Web Techniken: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Tina (Diskussion | Beiträge) |
Tina (Diskussion | Beiträge) |
||
Zeile 31: | Zeile 31: | ||
* Entführen der Session und zu Erlangen der Vertrauensstellung | * Entführen der Session und zu Erlangen der Vertrauensstellung | ||
* Zuerst passives Sniffing der Kommunikation. (Bei HTTP Verkehr direkter Zugriff auf Physical Layer oder Man-in-the-Middle-Attack; bei HTTPS Verkehr muss die Verschlüsselung zunächst aufgebrochen werden.) | * Zuerst passives Sniffing der Kommunikation. (Bei HTTP Verkehr direkter Zugriff auf Physical Layer oder Man-in-the-Middle-Attack; bei HTTPS Verkehr muss die Verschlüsselung zunächst aufgebrochen werden.) | ||
− | # Übernahme der Verbindung nach dem Aufbau der Verbindung durch die rechtmäßigen Teilnehmer durch Manipulation der Antwortpakete und schnelleres Senden als der rechtmäßige Sender. | + | # Entführen von TCP-Sitzungen: Übernahme der Verbindung nach dem Aufbau der Verbindung durch die rechtmäßigen Teilnehmer durch Manipulation der Antwortpakete und schnelleres Senden als der rechtmäßige Sender. |
+ | # Entführen von Web-Sitzungen: Übernahme der Verbindung durch Diebstahl oder Erraten der Session-ID | ||
+ | * Gegenmaßnahme besteht in der Verwendung von HTTPS, Challenge-Respone-Authentifizierung (Authentifizierungsverfahren auf Basis von Wissen), dem Verbot von Cross-Site Scripting | ||
==Session Fixation== | ==Session Fixation== | ||
+ | * Angreifer läßt sich eine Gültige Session ID ausstellen, die er anschließend dem Opfer unterschiebt. | ||
+ | * Authentifiziert sich das Opfer am System, kann der Angreifer Zugriff erhalten solange die Session ID gültig ist. | ||
+ | * Einsatz bei der Kompromottierung von Webanwendungen. (URL-Manipulation, Cross-Site-Scripting) |
Version vom 7. Oktober 2020, 14:15 Uhr
HTTP, HTTPS, HTTP-Header, Referrer
HTTP
- Hypertext Transfer Protocol
- Zustandsloses Protokoll zur Datenübertragung in Netzen.
- Wird hauptsächlich eingesetzt um Websites in einen Webbrowser zu laden.
- Client Server Modell
HTTPS
- Hypertext Transfer Protocol Secure
- Erweiterung von HTTP so dass Daten verschlüsselt zwischen Client und Server übertragen werden.
- Ende-zu-Ende-Verschlüsselung und Authentifizierung.
- Hinzufügen einer Schicht zwischen HTTP und TCP
- Verhinderung von Phishing Attacken und Man-in-the-Middle-Angriffe.
HTTP-Header
- Bestandteile der HTTP-Protokollheaders
- Erlauben die Übergabe zusätzlicher Informationen bei einer Anfrage (Client) oder einer Antwort (Server).
- Syntax: Name und durch einen Doppelpunkt getrennter Wert. Beispiel -> Accept-Language: *
- Duch Einsatz spezieller Header läßt sich die Sicherheit von Websites erhöhen. (zum Beispiel Festlegung, dass die Seite nur per HTTPS aufgerufen werden darf)
Referrer
- HTTP-Header der als Wert die URL der vorher besuchten Webseite enthält.
- Kann zu Analysezwecken und Logging benutzt werden.
- Kann für den Nutzer die unerwünschte Freigabe von Informationen bedeuten.
- Kann ein Sicherheitsproblem sein.
- Beispiel Reset-Password-Page mit Link weitere Seite (über angezeigte Werbung oder Social Media Links)
Sessions, Coockies, Aktive Inhalte
Sessions
- Behebung des Problems der Zustandslosigkeit des HTTP Protokolls.
- Anhand der eindeutigen Session-ID können einem Client Daten über den Verlauf mehrerer Anfragen zugeordnet werden.
- Speicherung der Sessiondaten Serverseitig
- Einsatz zum Beispiel beim Warenkorb von Online Shops
Session Hijacking
- Entführen der Session und zu Erlangen der Vertrauensstellung
- Zuerst passives Sniffing der Kommunikation. (Bei HTTP Verkehr direkter Zugriff auf Physical Layer oder Man-in-the-Middle-Attack; bei HTTPS Verkehr muss die Verschlüsselung zunächst aufgebrochen werden.)
- Entführen von TCP-Sitzungen: Übernahme der Verbindung nach dem Aufbau der Verbindung durch die rechtmäßigen Teilnehmer durch Manipulation der Antwortpakete und schnelleres Senden als der rechtmäßige Sender.
- Entführen von Web-Sitzungen: Übernahme der Verbindung durch Diebstahl oder Erraten der Session-ID
- Gegenmaßnahme besteht in der Verwendung von HTTPS, Challenge-Respone-Authentifizierung (Authentifizierungsverfahren auf Basis von Wissen), dem Verbot von Cross-Site Scripting
Session Fixation
- Angreifer läßt sich eine Gültige Session ID ausstellen, die er anschließend dem Opfer unterschiebt.
- Authentifiziert sich das Opfer am System, kann der Angreifer Zugriff erhalten solange die Session ID gültig ist.
- Einsatz bei der Kompromottierung von Webanwendungen. (URL-Manipulation, Cross-Site-Scripting)