Cross-Site Authentication

Cross-Site Authentication

Als Cross-Site Authentication (kurz: XSA) bezeichnet man einen Angriff gegen eine Webanwendung durch die aufgrund einer Computersicherheitslücke ein Angreifer fremde Passwörter ausspionieren kann. Hierbei handelt es sich um eine Form der Cross-Site Request Forgery.

Diese Lücke kann ausgenutzt werden, wenn ein Webforum, ein Weblog oder ähnliche Systeme das Einbinden von Bildern durch nicht vertrauenswürdige Benutzer zulässt. Ein Angreifer bindet dazu ein beliebiges Bild in einen Beitrag ein, welches durch den Webserver durch HTTP Auth geschützt ist. Ruft ein Benutzer den Beitrag auf, fordert ihn sein Webbrowser auf, eine Benutzer/Passwort-Kombination einzugeben, welche dann vom Webserver des Angreifers gespeichert werden kann.

Diese Sicherheitslücke lässt sich jedoch nur ausnutzen, wenn der Benutzer überhaupt ein Passwort eingibt. Bei einer Webseite, auf der normalerweise keine Passwörter verlangt werden, ist das schon unwahrscheinlich. Dazu muss der Benutzer auch noch einen Benutzernamen eingeben. Der Angreifer hat also im besten Fall eine Kombination aus Benutzername und Passwort, weiß aber erstmal nicht, wofür diese Kombination überhaupt gilt. Zudem erscheint die Passwortabfrage nicht als HTML-Formular, wie es wohl die meisten Webbenutzer gewohnt sind, sondern in einem eigenen Fenster, und ist somit auffällig.

Cross-Site Authentication kann durch den Browser begünstigt werden, indem dieser im Passwort-Dialog den Namen des zur Passwort-Eingabe auffordernden Webservers nicht deutlich genug anzeigt.

Schutz

Gegen diese Art von Angriffen gibt es viele Schutzmöglichkeiten:

  • Der Dienstanbieter kann dafür sorgen, dass keine Bilder oder sonstigen Inhalte aus externen Quellen in die Webseite eingebunden werden können. Dies geht Hand in Hand mit dem Verhindern von Cross-Site Scripting.
  • Der Browserhersteller kann im Falle eines vermuteten Angriffs deutliche Warnhinweise ausgeben. Eine weitere Möglichkeit ist, bei eingebetteten Elementen von fremden Webserver grundsätzlich die Authentikations-Mechanismen zu unterbinden.
  • Der Benutzer kann durch Aufmerksamkeit feststellen, ob sich die Webseite ungewöhnlich verhält. Wenn das Passwort normalerweise in einem Formular abgefragt wird, ist es verdächtig, wenn auf einmal ein neues Fenster erscheint.

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Cross-Site Scripting — (XSS) bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft… …   Deutsch Wikipedia

  • Cross-Site-Scripting — (XSS; deutsch Seitenübergreifendes Scripting) bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden …   Deutsch Wikipedia

  • Cross-site request forgery — Cross site request forgery, also known as a one click attack or session riding and abbreviated as CSRF (pronounced sea surf[1]) or XSRF, is a type of malicious exploit of a website whereby unauthorized commands are transmitted from a user that… …   Wikipedia

  • Cross-site scripting — (XSS) is a type of computer security vulnerability typically found in Web applications that enables attackers to inject client side script into Web pages viewed by other users. A cross site scripting vulnerability may be used by attackers to… …   Wikipedia

  • Cross-site tracing — (XST) is a network security vulnerability exploiting the HTTP TRACE method. XST scripts exploit ActiveX, Flash, or any other controls that allow executing an HTTP TRACE request. The HTTP TRACE response includes all the HTTP headers including… …   Wikipedia

  • Cross-Site Request Forgery — Eine Cross Site Request Forgery (auf Deutsch etwa „Seiten übergreifende Aufruf Manipulation“, meist CSRF oder XSRF abgekürzt) ist ein Angriff auf ein Computersystem, bei dem der Angreifer eine Transaktion in einer Webanwendung durchführt. Dies… …   Deutsch Wikipedia

  • XSA — Als Cross Site Authentication (kurz: XSA) bezeichnet man einen Angriff gegen eine Webanwendung durch die aufgrund einer Computersicherheitslücke ein Angreifer fremde Passwörter ausspionieren kann. Hierbei handelt es sich um eine Form der Cross… …   Deutsch Wikipedia

  • HTTP-Authentifizierung — ist ein Verfahren, mit dem sich der Nutzer eines Webbrowsers gegenüber dem Webserver bzw. einer Webanwendung als Benutzer authentisieren kann, um danach für weitere Zugriffe autorisiert zu sein. Es ist Teil des Hypertext Transfer Protocol (http) …   Deutsch Wikipedia

  • HTTP cookie — HTTP Persistence · Compression · HTTPS Request methods OPTIONS · GET · HEAD · POST · PUT · DELETE · TRACE · CONNECT Header fields Cookie · ETag · Location · Referer DNT · …   Wikipedia

  • Proxy server — For Wikipedia s policy on editing from open proxies, please see Wikipedia:Open proxies. Communication between two computers (shown in grey) connected through a third computer (shown in red) acting as a proxy. In …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”