In diesem Artikel, dem ersten von drei, werden Web-Sicherheitsbedrohungen und der Umgang clientseitiger Sicherheitstools mit einer häufig übersehenen Klasse von Cyberangriffen wie Magecart untersucht . Es werden traditionelle Techniken zur Abwehr von Web-Sicherheitsbedrohungen beschrieben, die auf clientseitigen Standards wie Richtlinien zur Inhaltssicherheit und Integrität von Subressourcen basieren. Diese sich entwickelnden Ansätze werden im Kontext einer repräsentativen clientseitigen Sicherheitsplattform gesehen.
Einführung
Vielleicht ist der Eckpfeiler der Cybersicherheit als Berufsdisziplin ihre kontinuierliche Fluidität. Das heißt, sobald Cyber-Angriffe auftreten, die die Vertraulichkeit, Integrität oder Zugänglichkeit bestimmter Internet-Ressourcen beeinträchtigen, werden geeignete Lösungen entwickelt, um diese zu beseitigen. Sobald diese Lösungen in die Infrastruktur einer gefährdeten Ressource integriert sind, treten neue Cyber-Angriffe auf, neue Lösungen werden erfunden und der Zyklus endet.
In einigen Fällen verfügen defensive Cyber-Lösungen über Mechanismen, die neue Formen böswilliger Angriffe antizipieren. In solchen Fällen können Sicherheitsrisiken in vielen Szenarien vermieden werden. Beispielsweise wurde die Zwei-Faktor-Authentifizierung als Maßnahme gegen das Erraten von Passwörtern erstellt und ist nun eine wichtige Sicherheitskomponente bei der Entwicklung neuer Protokolle für die Kommunikation zwischen IoT- Geräten .
Nirgendwo ist der Prozess der Entstehung und Überwindung von Bedrohungen so offensichtlich wie im Bereich der Web-Sicherheit, auch als Webanwendungssicherheit bezeichnet. Angesichts der Tatsache, dass wertvolle Assets am häufigsten über Webschnittstellen verarbeitet und verwaltet werden, steigt der Wert von Web-Exploits weiter an. Eine der Folgen dieses Wachstums ist, dass trotz der vielen Technologien zum Schutz von Webressourcen die Kluft zwischen der Anzahl der Angriffe und dem Schutzniveau wächst.
Die Hauptprämisse hinter dieser technischen Artikelserie ist eine Web-Sicherheitslücke, die sich aus der Tatsache ergibt, dass die meisten Anwendungen in modernen Browsern ausgeführt werden. Die Web-Sicherheits-Community hat seit langem die Notwendigkeit erkannt, Funktionselemente zum Schutz vor serverseitigen Schwachstellen bereitzustellen, die statische Daten und Inhalte an Clients verteilen. Der clientseitigen Sicherheit, die für Angreifer nicht weniger attraktiv ist, von der modernen Sicherheitsinfrastruktur jedoch weitgehend ignoriert wird, wird jedoch zu wenig Aufmerksamkeit geschenkt.
In dieser dreiteiligen Serie wollen wir diese Lücke schließen. Im ersten Teil werden wir über die häufigsten Cyber-Angriffe auf Websites sprechen. Im zweiten Teil werden wir uns mit den Web-Sicherheitslösungen befassen, die heute am häufigsten in der Produktion eingesetzt werden. In Teil 3 werden wir untersuchen, wie eine repräsentative clientseitige Sicherheitslösung dabei helfen kann, Schwachstellen in Ihrer Infrastruktur zu finden, die von Angreifern ausgenutzt werden könnten.
Häufige Website-Angriffe
Mitte der 90er Jahre des letzten Jahrhunderts gab es neben den Ideen von Tim Berners-Lee von der Ebene der Hypertext-Übertragungsprotokolle und Auszeichnungssprachen bis zum Internetprotokoll (IP) auch Mittel, um die Infrastrukturen, Systeme und Anwendungen anzugreifen, aus denen das sogenannte Web oder Netzwerk besteht. Zu diesem Zeitpunkt wurde die Disziplin der Websicherheit geboren, die als eine Reihe von Schutzmaßnahmen definiert werden kann, die zur Bewältigung der Sicherheitsrisiken des Netzwerkcomputers erforderlich sind.
Wie zu erwarten war, hat sich die Taxonomie von Web-Sicherheitsproblemen schnell in verschiedene Richtungen entwickelt. Die frühen Phasen konzentrierten sich jedoch darauf, Denial-of-Service-Angriffe zu verhindern, die Hosting-Infrastruktur zu sichern und den freien Fluss von Web-Inhalten an Benutzer sicherzustellen. Diese Aufmerksamkeit für Zugänglichkeitsprobleme wurde durch die Tatsache bestimmt, dass elektronische Transaktionen nicht sicher abgewickelt werden können, wenn die Website nicht oder nicht ordnungsgemäß funktioniert, was offensichtliche Konsequenzen für die Erzielung eines Gewinns hat.
Zusätzlich zu den Problemen auf Infrastrukturebene wurde die Überlegung entwickelt, dass Probleme auf Anwendungsebene auch schwerwiegende Folgen haben können, insbesondere für Kunden, die eine Website besuchen. So wurde der sogenannte geborenBedrohung im Bereich der Netzwerksicherheit , die sich aus einem kleinen Problem zu einer großen Sicherheitsaufgabe entwickelt hat. Noch heute ist es einfach genug, eine anfällige Webanwendung zu finden.
In den letzten Jahren hat sich eine Reihe von Standard-Angriffsstrategien herausgebildet, die äußerst schwer zu unterdrücken sind. Das Fortbestehen dieser Probleme ist auf die Komplexität der Entwicklung vieler Webanwendungen sowie auf die relative Unerfahrenheit und Unwissenheit vieler Netzwerkadministratoren zurückzuführen. Im Folgenden werden vier Strategien beschrieben, die zu Schwachstellen in der E-Commerce-Infrastruktur führen und Probleme für viele Unternehmen und deren Sicherheitsteams verursachen.
Cross Site Scripting (XSS)
Der häufigste Angriff auf Anwendungsebene ist Cross-Site-Scripting oder einfach XSS . Im Kern handelt es sich bei einem standortübergreifenden Angriff um eine Technik namens Injection, bei der ein Angreifer einen Weg findet, ein Skript eines Drittanbieters in eine Site einzufügen und zum Funktionieren zu bringen. Das Endziel besteht darin, dass die Zielwebanwendung den Angreifercode ohne dessen Wissen an den Browser des Benutzers sendet. Ein XSS-Angriff funktioniert am besten, wenn eine Website Eingaben ohne große Überprüfung akzeptiert, verarbeitet und verwendet.
Das ultimative Ziel ist es, Code in den Browser eines anderen Benutzers einzufügen. Der gefährdete Benutzer erwartet, dass alle kommenden Skripte sicher sind, da alle dynamischen Inhalte von der besuchten und angeblich vertrauenswürdigen Website stammen. Der Browser des Benutzers führt diesen Code häufig in JavaScript aus und stellt so vertrauliche Informationen wie Sitzungstoken oder Cookies einem Angreifer zur Verfügung. Der XSS-Code kann den Benutzer auch zu einer infizierten Site umleiten.
Abbildung 1. XSS-Angriffsdiagramm
Organisationen wie das Open Web Application Security Project ( OWASP)) bieten verschiedene Schutzmaßnahmen gegen XSS-Angriffe. Zu ihren Empfehlungen, von denen viele von Praktikern immer noch ignoriert werden, gehören aussagekräftige Verfahren zum Schreiben von Code und zur Verwaltung von Webressourcen, die die Verarbeitung von Daten verbessern, die von Benutzern stammen. Die meisten davon bieten eine bessere serverseitige Eingabevalidierung. Dies ist eine willkommene Sicherheitsmaßnahme und sollte in jedem Netzwerk-Ökosystem vorhanden sein.
Content- und Anzeigeninjektion
In den letzten Jahren sind als Malvertising bekannte Content- und Ad-Injection-Angriffe immer häufiger geworden . Dieser Trend sollte jedoch angesichts des wachsenden Ökosystems der Online-Werbung als treibende Kraft für das moderne Geschäft nicht überraschen. Schätzungen zufolge erreicht das Volumen der Online-Werbung derzeit 100 Milliarden US-Dollar. Hacker und Kriminelle sind sich dieses Trends bewusst und nutzen die verfügbaren Sicherheitslücken aus.
Wie Malvertising funktioniertÄhnlich wie bei XSS: Angreifer finden eine Möglichkeit, ihren Code über legitime Werbenetzwerke in Websites einzufügen. Das Ziel ist auch ähnlich wie bei XSS. Es besteht darin, Besucher mit bösartigem Code von einer Site zu einer anderen Ziel-Site umzuleiten. Dies ist der Hauptgrund für jeden Angriff, wie zum Beispiel Identitätsdiebstahl.
Einige Leute sprechen über den Injektionsprozess als Drive-by-Download . Dieser Begriff bezieht sich auf einen Nutzer, der Anzeigen in einem Browser mit einer Sicherheitsanfälligkeit anzeigt (was leider ein sehr häufiges Szenario ist). Wenn ein Benutzer mit einer Werbung interagiert, erfolgt eine Weiterleitung, wodurch Malware auf einen ahnungslosen Website-Besucher gelangt.
Abbildung 2. Drive-By-Download über Malvertising
Die traditionelle Lösung für dieses Problem besteht darin, ein Steuerelement wie eine Webanwendungs-Firewall (WAF) zu verwenden. WAF wird so konfiguriert, dass Signatur- oder Verhaltensanalysen verwendet werden, um zu verhindern, dass bösartiger Code aus nicht vertrauenswürdigen Quellen ausgeführt wird. Wie bei XSS wird dieser serverseitige Schutz häufig in Werbeökosystemen als primäres Steuerelement verwendet. Der beschriebene Ansatz ist auf Malvertising anwendbar, funktioniert jedoch nicht gegen alle Arten von Angriffen.
Magierwagen
Die Hacker-Gruppe Magecart entstand vor einigen Jahren und begann, Websites mit Angriffen wie Karten-Skimming zu terrorisieren. Normalerweise erscheinen und verschwinden Hacker-Gruppen ziemlich schnell, aber Magecart hat die Websites und Webanwendungen der Unternehmen schon lange nervös gemacht. Eine große Anzahl von Organisationen war von Hacks betroffen, und Sicherheitslösungen waren für die meisten Opfer nicht offensichtlich.
Greife den Mann in der Mitte anvon Magicart ist einfach genug: Zuerst wird der Schadcode dem JavaScript-Code hinzugefügt, der vom Server an den Client gesendet wird. Der Schadcode spürt dann sensible Daten auf und sammelt sie, z. B. Kreditkarteninformationen von Benutzern, die die Website über ihren Browser besuchen. Daten werden an eine schädliche Website gesendet und rechtswidrig hochgeladen. Alles ist sehr einfach.
Abbildung 3. Überfliegen von Karten von Magicart
Das Hauptproblem besteht jedoch darin, dass die übliche serverseitige Sicherheit den Man-in-the-Browser- Angriff ( MITB ) nicht berücksichtigt , da er auf der Clientseite auftritt. Zum Beispiel Webanwendungs-Firewalls ( WAF)) sehen keine JavaScript-Aktionen und haben keinen Bibliotheksscan für die Code-Injektion. Wenn der Angriff von Websites von Drittanbietern ausgeht, ist das Ergebnis kaskadierend, und was passiert, wird als Huckepack bezeichnet .
Erfahren Sie mehr über den Kurs.