Millionen DSL-Router hochgradig gefährdet

Angriffsvektor CSRF (XSRF oder Session Riding)

Die Non-Profit-Organisation OWASP veröffentlicht alle zwei Jahre eine Liste der gängigen Angriffe auf Web-Anwendungen. Ziel ist es, Web-Entwickler, Web-Designer und Firmen mit Web-Anwendungen für die aktuellen Gefahren zu sensibilisieren. Seit Jahren belegen die inzwischen hinlänglich bekannten Cross Site Scriptings und Injections die vorderen Plätze. Bei diesen Attacken schreibt der Angreifer ausführbaren Code in Eingabefelder von Web-Anwendungen. Wird die Eingabe nicht sauber gefiltert und umcodiert, führt beim Cross Site Scripting der Browser bösartigen Code aus. Bei Injections hingegen gelangt der Code bis zu den Servern. Bei SQL-Injections etwa schleust man so SQL-Anweisungen zur Datenbank durch und kann dann Daten entwenden oder zerstören. In der Regel ist der Angreifer beim Cross Site Scripting oder bei Injections selbst aktiv und gibt den kritischen Code über seinen Browser ein.

Cross Site Request Forgery wählt einen ganz anderen Weg. Hierbei wird ein nichtsahnender Surfer als Mittelsmann für den Angriff missbraucht. Eine bösartige Website nutzt die Vertrauensstellung des PCs oder Browsers des Mittelsmanns gegenüber einer anderen Seite aus.

Ein ganz einfacher Fall ist ein in das Intranet einer Firma eingeloggter Anwender. Surft dieser in einem zweiten Browserfenster eine präparierte Seite irgendwo im Netz an, so kann ein darin enthaltener Schadcode mit den legitimen Rechten des Anwenders auf das Intranet zugreifen. Ist der Login auf das Intranet gar über ein Cookie automatisiert, muss der Anwender nicht einmal aktiv eingeloggt sein, um über diesen Weg einen Angriff zu starten.