Version vom 7. Oktober 2020, 14:15 Uhr

HTTP, HTTPS, HTTP-Header, Referrer

Hypertext Transfer Protocol Secure
Erweiterung von HTTP so dass Daten verschlüsselt zwischen Client und Server übertragen werden.
Ende-zu-Ende-Verschlüsselung und Authentifizierung.
Hinzufügen einer Schicht zwischen HTTP und TCP
Verhinderung von Phishing Attacken und Man-in-the-Middle-Angriffe.

Bestandteile der HTTP-Protokollheaders
Erlauben die Übergabe zusätzlicher Informationen bei einer Anfrage (Client) oder einer Antwort (Server).
Syntax: Name und durch einen Doppelpunkt getrennter Wert. Beispiel -> Accept-Language: *
Duch Einsatz spezieller Header läßt sich die Sicherheit von Websites erhöhen. (zum Beispiel Festlegung, dass die Seite nur per HTTPS aufgerufen werden darf)

HTTP-Header der als Wert die URL der vorher besuchten Webseite enthält.
Kann zu Analysezwecken und Logging benutzt werden.
Kann für den Nutzer die unerwünschte Freigabe von Informationen bedeuten.
Kann ein Sicherheitsproblem sein.
Beispiel Reset-Password-Page mit Link weitere Seite (über angezeigte Werbung oder Social Media Links)

Behebung des Problems der Zustandslosigkeit des HTTP Protokolls.
Anhand der eindeutigen Session-ID können einem Client Daten über den Verlauf mehrerer Anfragen zugeordnet werden.
Speicherung der Sessiondaten Serverseitig
Einsatz zum Beispiel beim Warenkorb von Online Shops

Entführen der Session und zu Erlangen der Vertrauensstellung
Zuerst passives Sniffing der Kommunikation. (Bei HTTP Verkehr direkter Zugriff auf Physical Layer oder Man-in-the-Middle-Attack; bei HTTPS Verkehr muss die Verschlüsselung zunächst aufgebrochen werden.)

Entführen von TCP-Sitzungen: Übernahme der Verbindung nach dem Aufbau der Verbindung durch die rechtmäßigen Teilnehmer durch Manipulation der Antwortpakete und schnelleres Senden als der rechtmäßige Sender.
Entführen von Web-Sitzungen: Übernahme der Verbindung durch Diebstahl oder Erraten der Session-ID

Gegenmaßnahme besteht in der Verwendung von HTTPS, Challenge-Respone-Authentifizierung (Authentifizierungsverfahren auf Basis von Wissen), dem Verbot von Cross-Site Scripting

Angreifer läßt sich eine Gültige Session ID ausstellen, die er anschließend dem Opfer unterschiebt.
Authentifiziert sich das Opfer am System, kann der Angreifer Zugriff erhalten solange die Session ID gültig ist.
Einsatz bei der Kompromottierung von Webanwendungen. (URL-Manipulation, Cross-Site-Scripting)

@@ Zeile 31: / Zeile 31: @@
 * Entführen der Session und zu Erlangen der Vertrauensstellung
 * Zuerst passives Sniffing der Kommunikation. (Bei HTTP Verkehr direkter Zugriff auf Physical Layer oder Man-in-the-Middle-Attack; bei HTTPS Verkehr muss die Verschlüsselung zunächst aufgebrochen werden.)
-# Übernahme der Verbindung nach dem Aufbau der Verbindung durch die rechtmäßigen Teilnehmer durch Manipulation der Antwortpakete und schnelleres Senden als der rechtmäßige Sender.
+# Entführen von TCP-Sitzungen: Übernahme der Verbindung nach dem Aufbau der Verbindung durch die rechtmäßigen Teilnehmer durch Manipulation der Antwortpakete und schnelleres Senden als der rechtmäßige Sender.
+# Entführen von Web-Sitzungen: Übernahme der Verbindung durch Diebstahl oder Erraten der Session-ID
+* Gegenmaßnahme besteht in der Verwendung von HTTPS, Challenge-Respone-Authentifizierung (Authentifizierungsverfahren auf Basis von Wissen), dem Verbot von Cross-Site Scripting
 ==Session Fixation==
+* Angreifer läßt sich eine Gültige Session ID ausstellen, die er anschließend dem Opfer unterschiebt.
+* Authentifiziert sich das Opfer am System, kann der Angreifer Zugriff erhalten solange die Session ID gültig ist.
+* Einsatz bei der Kompromottierung von Webanwendungen. (URL-Manipulation, Cross-Site-Scripting)