World Wide Web Techniken: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Tina (Diskussion | Beiträge) |
Tina (Diskussion | Beiträge) |
||
Zeile 22: | Zeile 22: | ||
* Kann ein Sicherheitsproblem sein. | * Kann ein Sicherheitsproblem sein. | ||
* Beispiel Reset-Password-Page mit Link weitere Seite (über angezeigte Werbung oder Social Media Links) | * Beispiel Reset-Password-Page mit Link weitere Seite (über angezeigte Werbung oder Social Media Links) | ||
− | =Sessions, | + | =Sessions, Cookies, Aktive Inhalte= |
==Sessions== | ==Sessions== | ||
* Behebung des Problems der Zustandslosigkeit des HTTP Protokolls. | * Behebung des Problems der Zustandslosigkeit des HTTP Protokolls. | ||
Zeile 38: | Zeile 38: | ||
* Authentifiziert sich das Opfer am System, kann der Angreifer Zugriff erhalten solange die Session ID gültig ist. | * Authentifiziert sich das Opfer am System, kann der Angreifer Zugriff erhalten solange die Session ID gültig ist. | ||
* Einsatz bei der Kompromottierung von Webanwendungen. (URL-Manipulation, Cross-Site-Scripting) | * Einsatz bei der Kompromottierung von Webanwendungen. (URL-Manipulation, Cross-Site-Scripting) | ||
+ | ==Cookies== | ||
+ | * Daten die von einer Website auf dem Client gespeichert werden. | ||
+ | * Wird vom Webserver an der Browser geschickt oder im Browser von einem Script erzeugt. | ||
+ | * Kann zu einem späteren Zeitpunkt vom Server ausgelesen werden. | ||
+ | * Bieten die Möglichkeit des Trackings. | ||
+ | * Sicherheitseinstellungen des Browsers zu Cookies beachten. |
Version vom 7. Oktober 2020, 14:22 Uhr
HTTP, HTTPS, HTTP-Header, Referrer
HTTP
- Hypertext Transfer Protocol
- Zustandsloses Protokoll zur Datenübertragung in Netzen.
- Wird hauptsächlich eingesetzt um Websites in einen Webbrowser zu laden.
- Client Server Modell
HTTPS
- Hypertext Transfer Protocol Secure
- Erweiterung von HTTP so dass Daten verschlüsselt zwischen Client und Server übertragen werden.
- Ende-zu-Ende-Verschlüsselung und Authentifizierung.
- Hinzufügen einer Schicht zwischen HTTP und TCP
- Verhinderung von Phishing Attacken und Man-in-the-Middle-Angriffe.
HTTP-Header
- Bestandteile der HTTP-Protokollheaders
- Erlauben die Übergabe zusätzlicher Informationen bei einer Anfrage (Client) oder einer Antwort (Server).
- Syntax: Name und durch einen Doppelpunkt getrennter Wert. Beispiel -> Accept-Language: *
- Duch Einsatz spezieller Header läßt sich die Sicherheit von Websites erhöhen. (zum Beispiel Festlegung, dass die Seite nur per HTTPS aufgerufen werden darf)
Referrer
- HTTP-Header der als Wert die URL der vorher besuchten Webseite enthält.
- Kann zu Analysezwecken und Logging benutzt werden.
- Kann für den Nutzer die unerwünschte Freigabe von Informationen bedeuten.
- Kann ein Sicherheitsproblem sein.
- Beispiel Reset-Password-Page mit Link weitere Seite (über angezeigte Werbung oder Social Media Links)
Sessions, Cookies, Aktive Inhalte
Sessions
- Behebung des Problems der Zustandslosigkeit des HTTP Protokolls.
- Anhand der eindeutigen Session-ID können einem Client Daten über den Verlauf mehrerer Anfragen zugeordnet werden.
- Speicherung der Sessiondaten Serverseitig
- Einsatz zum Beispiel beim Warenkorb von Online Shops
Session Hijacking
- Entführen der Session und zu Erlangen der Vertrauensstellung
- Zuerst passives Sniffing der Kommunikation. (Bei HTTP Verkehr direkter Zugriff auf Physical Layer oder Man-in-the-Middle-Attack; bei HTTPS Verkehr muss die Verschlüsselung zunächst aufgebrochen werden.)
- Entführen von TCP-Sitzungen: Übernahme der Verbindung nach dem Aufbau der Verbindung durch die rechtmäßigen Teilnehmer durch Manipulation der Antwortpakete und schnelleres Senden als der rechtmäßige Sender.
- Entführen von Web-Sitzungen: Übernahme der Verbindung durch Diebstahl oder Erraten der Session-ID
- Gegenmaßnahme besteht in der Verwendung von HTTPS, Challenge-Respone-Authentifizierung (Authentifizierungsverfahren auf Basis von Wissen), dem Verbot von Cross-Site Scripting
Session Fixation
- Angreifer läßt sich eine Gültige Session ID ausstellen, die er anschließend dem Opfer unterschiebt.
- Authentifiziert sich das Opfer am System, kann der Angreifer Zugriff erhalten solange die Session ID gültig ist.
- Einsatz bei der Kompromottierung von Webanwendungen. (URL-Manipulation, Cross-Site-Scripting)
Cookies
- Daten die von einer Website auf dem Client gespeichert werden.
- Wird vom Webserver an der Browser geschickt oder im Browser von einem Script erzeugt.
- Kann zu einem späteren Zeitpunkt vom Server ausgelesen werden.
- Bieten die Möglichkeit des Trackings.
- Sicherheitseinstellungen des Browsers zu Cookies beachten.