Achillesferse Web-Anwendung: Eine neue Ära der Bedrohung

Schützen Sie Ihr E-Business vor Datendiebstahl und Manipulation!

Herkömmliche Sicherheitssysteme prüfen nicht die Logik der Anwendung. Sie beschränken sich lediglich auf die Transportebene, für die sie konzipiert wurden. Erreicht ein Request die Firewall, werden folgende Fragen gestellt: Erfüllt sein äußeres Erscheinungsbild bestimmte Kriterien? Kann er einen bestimmten „Ausweis“ vorzeigen? Dann wird er problemlos an Firewall & Co. vorbeigewunken. In die „Taschen“ der Anfrage mit eventuell gefährlichem Inhalt schaut dabei niemand.

Hier lauern aber gerade die Gefahren. So sieht beispielsweise eine Injection-Attacke auf den ersten Blick aus wie eine harmlose Anfrage. Es treten jedoch immer dann Probleme auf, wenn Eingabedaten an andere Komponenten des Gesamtsystems weitergeleitet werden. Wird beispielsweise im Eingabefeld 'Name' statt des Nachnamens ein SQL-Befehl eingetippt, dann kann dieser Informationen aus der Datenbank widerrechtlich abfordern. Ernste Schäden sind die Folge.

Mit dem Diebstahl fremder Identitäten gehen Web-Kriminelle auf Shopping-Tour: Bevor Kunde oder Shop-Betreiber etwas merken, hat sich der Datendieb die Taschen schon auf Kosten eines anderen gefüllt. Mit Cross Site Scripting (XSS) können sogar unerwünschte Fremdinformationen in das Web-Shop-System eingeschleust und die Kunden damit getäuscht werden – beispielsweise durch die Manipulation von Preisen.