Sicher programmieren fürs Web

Kategorien von Angriffen

Mögliche Angreifer können verschiedene Ziele durch einen Angriff verfolgen und je nach Ziel dabei verschiedene Methoden einsetzen. Durch Ziel und Methode lassen sich Angriffe kategorisieren. Die folgenden Kategorien sind die wichtigsten:

Denial of Service: Hier geht es darum, die Verfügbarkeit eines Dienstes zu reduzieren oder ihn komplett unzugänglich zu machen. Das kann der Angreifer zum Beispiel erreichen, indem er eine Webanwendung mit Requests bombardiert, bis die Anwendung nicht mehr oder nicht in einem adäquaten Zeitrahmen antwortet.

Rechteübernahme: Ein Angreifer kann versuchen, seine Privilegien - die er als ganz normaler öffentlicher User einer Webanwendung hat - so zu steigern, dass er mehr Kontrolle über die Anwendung selbst oder über weiter gehende Prozesse auf dem Server der Anwendung erhält.

Weitergabe von Informationen: Der Angreifer will möglichst viele interne Informationen über eine Webseite erhalten. Diese Informationen kann er zum Beispiel durch fälschlicherweise öffentlich zugängliche Fehlermeldungen oder durch das Abhören von unverschlüsseltem IP-Traffic erlangen.

Spoofing: Hier versucht der Angreifer, Zugang zu Daten oder Diensten zu erhalten, indem er sich als ein anderer User ausgibt. Das kann beispielsweise durch eine gefälschte IP-Adresse geschehen oder über gestohlene Account-Daten.