Der Traum aller Hacker – über Web-Anwendungen an Informationen kommen

abgelegt im Archiv Web Anwendungen am 25.04.10

© purpleslog

Vertrauliche Unternehmens- und auch Kundendaten sind immer sehr gefragt bei den Hackern. Und immer öfter sind es Programmierfehler in den angebotenen Web-Anwendungen, die den Hackern hier Tür und Tor öffnen. Wer sich als Anwender davor schützen möchte, der sollte seine Web-Anwendungen auf Sicherheitslecks prüfen oder auch sogenannte Gateways dazwischenschalten.
Oft ist es ein kleine und eigentlich harmlose Web-Anwendung, die auf die Unternehmens-Website eingebaut wurde, um dem Kunden einfach einen besseren Service zu bieten, die dann genutzt wird, um auch Informationen aus der Datenbank des Unternehmens auszulesen, die gar nicht für die Öffentlichkeit gedacht sind. Bereits im Februar 2009 musste diese Erfahrung das Unternehmen 1&1 machen, dort konnten plötzlich Kunden auf die Daten anderer Nutzer zugreifen, die gar nicht für sie bestimmt waren. Hier war es zu einem Fehler in der Kundenverwaltung gekommen, und dadurch, dass eine Überprüfung der Nutzerrechtekonten ganz einfach fehlte, konnte jeder auf die Einzelverbindungsnachweise von anderen Nutzern zugreifen, man musste nur die Rechnungs-ID in der URL ändern, nachdem man sich selbst eingeloggt hatte und die eigenen Daten aufgerufen hatte.

Schon konnte man sich anschauen mit wem telefoniert wurde, wie lange und zu welchem Preis. Glücklicherweise blieb der Zugriff auf das eigentliche Konto verwehrt, aber auch dies ist ja schon schlimm genug. Oft ist der Grund für eine solche Panne, dass die Web-Anwendung einfach fehlerhaft programmiert ist. Der Fehler kann aber auch in dem Programmcode der Backend-Anwendung stecken. Es kann aber auch ein Problem beim Zusammenspiel von beiden geben. Und genau da setzen clevere Hacker an, die dann via Browser Abfragen starten, um eigentlich unsichtbare Daten zu erhalten, die nicht für alle gedacht sind. Um das zu verhindern, werden nun die Maßnahmen zur Web Application Security, kurz WAS, eingesetzt. Da die Attacken weiterhin zunehmen ist das auch ganz dringend nötig, denn dies könnte sich wirklich zum absoluten Albtraum der IT-Security entwickeln.