Rating: 0 out of 5 stars
0 ratings
Ebook71 pages55 minutes
Websecurity: Angriffe mit SSRF, CSRF und XML
Rating: 0 out of 5 stars
()
About this ebook
Stetig gibt es neue SSRF- und CSRF-Angriffe; einige sind gefährlicher als anfänglich vermutet. Dieser shortcut erklärt und untersucht SSRF- sowie CSRF-Schwachstellen und zeigt Ihnen, mit welchen Mitteln Sie diesen entgegentreten können. XML ist schon bei der SSRF nicht unbeteiligt; ebenso spielt es bei zahlreichen weiteren Sicherheitsangriffen eine tragende Rolle, die ebenfalls vom Autor ins Visier genommen werden.
Read more from Carsten Eilers
iOS Security: Sichere Apps für iPhone und iPad
Related to Websecurity
Titles in the series (100)
IT Wissensmanagement: Theorie und Praxis Rating: 0 out of 5 stars0 ratingsTFS 2012 Überblick und Installation: Der Weg zum TFS Rating: 0 out of 5 stars0 ratingsServiceorientierte Architektur: Anforderungen, Konzeption und Praxiserfahrungen Rating: 0 out of 5 stars0 ratingsHTML5 für Mobile Web Rating: 0 out of 5 stars0 ratingsADF - Mobile Apps entwickeln und Swing ablösen: Mobile Apps entwickeln und Swing ablösen Rating: 0 out of 5 stars0 ratingsBig Data: Technologiegrundlagen Rating: 0 out of 5 stars0 ratingsNFC: Near Field Communication für Android-Entwickler Rating: 5 out of 5 stars5/5JavaScript für Eclipse-Entwickler: Orion, RAP und GWT Rating: 0 out of 5 stars0 ratingsErfolgreiche Spieleentwicklung: OpenGL, OpenAL und KI Rating: 0 out of 5 stars0 ratingsTFS 2012 Anforderungsmanagement: Work Items und Prozessvorlagen Rating: 0 out of 5 stars0 ratingsSkalierbare Softwaresysteme: Design, Betrieb und Optimierungspotenziale Rating: 0 out of 5 stars0 ratingsSoftwareentwicklungsprozess: Von der ersten Idee bis zur Installation Rating: 0 out of 5 stars0 ratingsHTML5 Security Rating: 0 out of 5 stars0 ratingsEinstieg in Google Go Rating: 0 out of 5 stars0 ratingsErfolgreiche Spieleentwicklung: OpenCL Rating: 0 out of 5 stars0 ratingsJava EE Security Rating: 0 out of 5 stars0 ratingsBPM: Strategien und Anwendungsfälle Rating: 0 out of 5 stars0 ratingsAmazon Web Services für .NET Entwickler Rating: 0 out of 5 stars0 ratingsBig Data: Executive Briefing Rating: 0 out of 5 stars0 ratingsMobile Business: Was Entscheider morgen wissen müssen Rating: 0 out of 5 stars0 ratingsUX Design für Tablet-Websites: Ein Überblick Rating: 0 out of 5 stars0 ratingsAlgorithmen: Grundlagen und Implementierung Rating: 0 out of 5 stars0 ratingsJava 7: Fork-Join-Framework und Phaser Rating: 0 out of 5 stars0 ratingsÜberzeugende Präsentationen: Konzeption, Technik und Design Rating: 0 out of 5 stars0 ratingsJavaScript auf dem Server Rating: 0 out of 5 stars0 ratingsF#: Ein praktischer Einstieg Rating: 0 out of 5 stars0 ratingsGeolocation mit PHP: Foursquare-API, Google Places & Qype Rating: 0 out of 5 stars0 ratingsJava EE 7: Ein Ausblick Rating: 0 out of 5 stars0 ratingsQualitätssicherung mit JavaScript und PHP Rating: 0 out of 5 stars0 ratingsC++: Kurzportträt einer zeitlosen Sprache Rating: 0 out of 5 stars0 ratings
Related ebooks
Ich Hacker – Du Script-Kiddy: Hacking und Cracking Rating: 0 out of 5 stars0 ratingsBug Bounty Hunting mit Kali-Linux oder Parrot Security OS: Hacking als Hautberuf oder Nebenjob Rating: 3 out of 5 stars3/5SECURITY AWARENESS: Leitfaden zur IT-Sicherheit für Anwender Rating: 0 out of 5 stars0 ratingsNichts ist sicher: Tricks und Techniken von Cyberkriminellen verstehen und sich schützen Rating: 5 out of 5 stars5/5Hacken mit Kali-Linux: Schnelleinstieg für Anfänger Rating: 0 out of 5 stars0 ratingsJavaScript Security: Sicherheit im Webbrowser Rating: 0 out of 5 stars0 ratingsC# 10 – kurz & gut Rating: 0 out of 5 stars0 ratingsHacken mit Python und Kali-Linux: Entwicklung eigener Hackingtools mit Python unter Kali-Linux Rating: 0 out of 5 stars0 ratingsAngriffsziel UI: Benutzeraktionen, Passwörter und Clickjacking Rating: 0 out of 5 stars0 ratingsWebseiten hacken: Schnelleinstieg inkl. Entwicklung eigener Angriffsscripte Rating: 0 out of 5 stars0 ratingsCross-Plattform-Entwicklung mit HTML und JavaScript Rating: 0 out of 5 stars0 ratingsGraphQL: Eine Einführung in APIs mit GraphQL Rating: 0 out of 5 stars0 ratingsEinführung ins Darknet: Darknet ABC Rating: 0 out of 5 stars0 ratingsMobile Web-Apps mit JavaScript: Leitfaden für die professionelle Entwicklung Rating: 0 out of 5 stars0 ratingsHTML5 Security Rating: 0 out of 5 stars0 ratingsAndroid mit Kotlin – kurz & gut: Inklusive Android 8 und Android Studio 3.0 Rating: 0 out of 5 stars0 ratingsHTML5, JavaScript und jQuery: Der Crashkurs für Softwareentwickler Rating: 2 out of 5 stars2/5Vue.js kurz & gut Rating: 0 out of 5 stars0 ratingsDie Serverwelt von Node.js Rating: 0 out of 5 stars0 ratingsAutomatisiertes Testen: Testautomatisierung mit Geb und ScalaTest Rating: 0 out of 5 stars0 ratingsWebsecurity: Jahresrückblick Rating: 0 out of 5 stars0 ratingsEinstieg in TypeScript: Grundlagen für Entwickler Rating: 0 out of 5 stars0 ratingsPrinzipien des Softwaredesigns: Entwurfsstrategien für komplexe Systeme Rating: 0 out of 5 stars0 ratingsProgressive Web-Apps: Offlinefähige Web-Anwendungen mit nativen Qualitäten Rating: 0 out of 5 stars0 ratingsC# 6.0 – kurz & gut Rating: 5 out of 5 stars5/5Java EE Security Rating: 0 out of 5 stars0 ratings
Security For You
Heim-Netzwerke: Netzwerktechnik • High-Speed-Internet • Arbeiten im Heimnetz Rating: 0 out of 5 stars0 ratingsCybercrime: Wie Sie Gefahren im Internet erkennen und sich schützen Rating: 0 out of 5 stars0 ratingsHacken mit Python und Kali-Linux: Entwicklung eigener Hackingtools mit Python unter Kali-Linux Rating: 0 out of 5 stars0 ratingsKochbuch ISMS: Informationssicherheits-Management nach ISO 27001 Rating: 0 out of 5 stars0 ratingsISO27001/ISO27002: Ein Taschenführer Rating: 0 out of 5 stars0 ratingsWeg ins Darknet und Im Darknet Rating: 0 out of 5 stars0 ratingsWebseiten hacken: Schnelleinstieg inkl. Entwicklung eigener Angriffsscripte Rating: 0 out of 5 stars0 ratingsEinführung ins Darknet: Darknet ABC Rating: 0 out of 5 stars0 ratingsNeun Schritte zum Erfolg: Ein Überblick zur Implementierung der Norm ISO 27001:2013 Rating: 0 out of 5 stars0 ratingsAndroid Security: Von Fake-Apps, Trojanern und Spy Phones Rating: 0 out of 5 stars0 ratingsÜberwachungswahn: ...wie umgehen ?? Rating: 0 out of 5 stars0 ratingsIT-Sicherheit ist sexy!: Argumente für Investitionen in IT-Sicherheit Rating: 0 out of 5 stars0 ratingsHeim-Netzwerke Tipps & Tools: Netzwerkverbindungen • Zentraler Datenspeicher • Mediastreaming Rating: 0 out of 5 stars0 ratingsHeimnetzwerke XL-Edition: DSL/WLAN/PC/Handy/Drucker & Co. Rating: 0 out of 5 stars0 ratingsKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Rating: 0 out of 5 stars0 ratingsFRITZ!Box: Konfigurieren - Tunen - Absichern Rating: 0 out of 5 stars0 ratingsHacken mit Kali-Linux: Schnelleinstieg für Anfänger Rating: 0 out of 5 stars0 ratingsDie Burg IT-Sicherheit: IT-Sicherheit Stein auf Stein Rating: 0 out of 5 stars0 ratingsJavaScript Security: Sicherheit im Webbrowser Rating: 0 out of 5 stars0 ratingsResilience: Wie Netflix sein System schützt Rating: 0 out of 5 stars0 ratingssichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Rating: 0 out of 5 stars0 ratingsVersteckte Botschaften (TELEPOLIS): Die faszinierende Geschichte der Steganografie Rating: 5 out of 5 stars5/5
Related podcast episodes
Cybersecurity: Warum müssen sich gerade Berufseinsteiger vor Hackern schützen?: WirtschaftsWoche Money Mates 0% found this document usefulWissen Sie, ob Sie schon gehackt sind?: Log4j als weitere Warnung vor gravierenden Sicherheitslücken in der IT 0% found this document usefulDatensicherheit in der Cloud mit Gerald Boyne (Amazon Web Services) 0% found this document usefulEZB gibt Daten US-Anbietern | Von Norbert Häring 0% found this document useful
Related articles
Wenig Wahl, viel Qual Raspberry Pi GeekArticle
Wenig Wahl, viel Qual
Jan 19, 2023
11 min readZahlen & Trends Linux Magazin germanyArticle
Zahlen & Trends
Mar 3, 2022
9 min readAngriffstechnik Linux Magazin germanyArticle
Angriffstechnik
Sep 1, 2021
7 min readZahlen & Trends Linux Magazin germanyArticle
Zahlen & Trends
Oct 6, 2021
9 min readUnleserlich Linux Magazin germanyArticle
Unleserlich
Dec 1, 2021
10 min readTux Liest Linux Magazin germanyArticle
Tux Liest
Apr 7, 2021
Wie genau wird aus einem Buchstaben im Klartext das verschlüsselte Zeichen, die Chiffre? Welche Vertauschungen sollen es unmöglich machen, auf den ursprünglichen Text zu schließen? Welche Waffen haben Kryptanalysten in petto, um einen geheimen Text w
2 min readNews Linux Magazin germanyArticle
News
Mar 3, 2022
6 min readAssembler-Programmierung auf dem Raspberry Pi 01000010 Raspberry Pi GeekArticle
Assembler-Programmierung auf dem Raspberry Pi 01000010
Dec 1, 2021
8 min readFliegender Wechsel Linux Magazin germanyArticle
Fliegender Wechsel
Mar 3, 2022
7 min readSpürhund LinuxUserArticle
Spürhund
Aug 17, 2023
1 min readAusgepackt Raspberry Pi GeekArticle
Ausgepackt
Dec 1, 2021
3 min readAuf Spurensuche Linux Magazin germanyArticle
Auf Spurensuche
Mar 3, 2022
10 min readVolle Kontrolle Über Den Datenverkehr MacLife GermanArticle
Volle Kontrolle Über Den Datenverkehr
Feb 4, 2021
8 min readAlles Durchprobiert Linux Magazin germanyArticle
Alles Durchprobiert
Nov 3, 2021
10 min readKampf den Bugs LinuxUserArticle
Kampf den Bugs
May 19, 2022
8 min readUrsachen Finden Linux Magazin germanyArticle
Ursachen Finden
Nov 3, 2021
3 min readVorschau auf 12/2021 LinuxUserArticle
Vorschau auf 12/2021
Oct 20, 2021
1 min readEinbruchswerkzeug Linux Magazin germanyArticle
Einbruchswerkzeug
Sep 1, 2021
9 min readScharfer Wachhund Linux Magazin germanyArticle
Scharfer Wachhund
Aug 4, 2021
10 min readVermittlungszentrale Linux Magazin germanyArticle
Vermittlungszentrale
Apr 7, 2021
11 min readVorschau auf 12/2021 Linux Magazin germanyArticle
Vorschau auf 12/2021
Oct 6, 2021
1 min readWenn Es Kracht Linux Magazin germanyArticle
Wenn Es Kracht
May 5, 2021
5 min readSo Entfernst Du Malware Von Deinem Mac MacLife GermanArticle
So Entfernst Du Malware Von Deinem Mac
Mar 2, 2023
6 min readVogelperspektive Linux Magazin germanyArticle
Vogelperspektive
Dec 1, 2021
8 min readVorschau auf 11/2022 LinuxUserArticle
Vorschau auf 11/2022
Sep 22, 2022
1 min readSchnell Gestrickt LinuxUserArticle
Schnell Gestrickt
Feb 16, 2023
5 min readRückschau Linux Magazin germanyArticle
Rückschau
Nov 3, 2021
7 min readOnline À La Carte MacLife GermanArticle
Online À La Carte
Nov 3, 2023
3 min readMehr Kontrolle Linux Magazin germanyArticle
Mehr Kontrolle
Feb 3, 2022
2 min readKomfort-Downloads LinuxUserArticle
Komfort-Downloads
Apr 21, 2022
9 min read
Reviews for Websecurity
Rating: 0 out of 5 stars
0 ratings
0 ratings0 reviews
Book preview
Websecurity - Carsten Eilers
Angriffe.
1 SSRF – was ist das, was kann das, und ist das etwa gefährlich?
Das Thema dieses Kapitels sind eine Schwachstelle und ein Angriff, die oft nicht weiter beachtet werden. Ist diese Missachtung einer möglichen Gefahr gerechtfertigt, oder sollte man vor den Angriffen nicht doch besser auf der Hut sein?
Sie kennen ja sicherlich die Cross-Site Request Forgery (CSRF), bei der eine Webseite eine Aktion auf einer anderen Website im Namen des aktuellen Benutzers ausführt, während dieser dort angemeldet ist. Ein beliebtes Beispiel ist ein IMG-Tag in der Seite des Angreifers, dessen SRC-Attribut den Link zum Ausloggen des Benutzers auf der angegriffenen Website enthält [1]. Also etwa sowas in der Art:
http://www.angegriffene-site.example/benutzer/logout.php>
Wenn der Browser versucht, das Bild zu laden, sendet er einen Request an den URL http://www.angegriffene-site.example/benutzer/logout.php und fügt die von www.angegriffene-site.example gesetzten Cookies hinzu. An denen wird der Benutzer erkannt und ausgeloggt.
Wow, was für eine Gefahr!
Da zittern gleich alle vor Angst, oder? Natürlich nicht. Aber das ist auch gar nicht beabsichtigt. Dieses Beispiel zeigt nur, wie CSRF funktioniert. Tatsächlich sind sehr viel gefährlichere Angriffe möglich; einige neue Entwicklungen im Bereich der CSRF werden im folgenden Kapitel vorgestellt.
Wer aber nur das einfache Beispiel kennt, kommt zum Schluss, dass CSRF ja eigentlich harmlos ist. Und genauso sieht es auf den ersten Blick bei der mit der CSRF weitläufig verwandten Server-side Request Forgery (SSRF) aus. Beide gehen übrigens auf das uralte Problem des „Confused Deputy" [2] zurück, falls Sie die Hintergründe interessieren.
Server-side Request Forgery in der Theorie
Server-side Request Forgery wird als CWE-918 im Common Weakness Enumeration Dictionary wie folgt beschrieben [3]: „The web server receives a URL or similar request from an upstream component and retrieves the contents of this URL, but it does not sufficiently ensure that the request is being sent to the expected destination."
Diese Beschreibung ist formal halbwegs richtig (es können auch andere Server als Webserver angegriffen werden), aber wenig anschaulich. Bei einem SSRF-Angriff sendet ein Angreifer einen Request an einen Server A, der diesen dazu bringt, selbst einen Request an einen anderen Server B zu senden und das Ergebnis an den Angreifer zurückzuliefern. Der Vorteil für den Angreifer: Für Server B kommt der Request von Server A. Das ist natürlich besonders nützlich, wenn Server B zwar Requests von Server A entgegennimmt, nicht aber von anderen Quellen. Aber ein Angreifer kann so auch seine Herkunft verschleiern, während er zum Beispiel nach angreifbaren Servern sucht.
Das alles lässt sich viel besser mit einem Beispiel erklären. Ein klassisches Beispiel für SSRF ist eine Webanwendung, der man zum Beispiel einen URL zum Laden eines Bilds übergeben kann und die dabei auch Portangaben auswertet. Lässt sich dann je nach Fehlermeldung auch noch feststellen, ob der Port offen oder geschlossen ist, handelt es sich um eine SSRF-Schwachstelle.
Auch das ist noch nicht wirklich anschaulich. Also nehmen wir besser ein Beispiel, das es „in the Wild" wirklich gab. Oder zwei. Oder drei.
Beispiel 1: Eine Schwachstelle auf „marketplace.mozilla.org"
Fangen wir mit einer im Juli 2013 gemeldeten Schwachstelle auf marketplace.mozilla.org an [4]. Beim Anmelden einer App konnte ein URL für das App-Manifest angegeben werden. Der URL konnte eine Portangabe enthalten, die auch ausgewertet wurde. Wurde als URL http://scanme.nmap.org:22 angegeben (Port 22 ist ein offener Port), wurde die Fehlermeldung
Your app failed validation with 1 error. Manifests must be served with the HTTP header Content-Type: application/x-web-app-manifest+json
. See https://developer.mozilla.org/en/Apps/Manifest#Serving_manifests for more information.
zurückgeliefert. Beim URL http://scanme.nmap.org:21 mit einem geschlossenen Port gab es dagegen die Fehlermeldung: „Your app failed validation with 1 error. No manifest was found at that URL. Check
Enjoying the preview?
Page 1 of 1