BlackHat 2007: Ajax macht Hacker glücklich

Die sprunghaft gestiegene Akzeptanz von Ajax zur Entwicklung dynamischer Web-Anwendung stellt ein enormes Sicherheitsrisiko dar, erklärten Experten auf der Security-Konferenz Black Hat in Las Vegas.

Der Trend zu interaktiven, dynamischen und dennoch performanten Browser-Anwendungen ist im vergangenen Jahr sprunghaft gestiegen. Katalysator dahinter ist nicht zuletzt die Technik "Asynchronous JavaScript and XML" (Ajax), die Web-Anwendungen "Flügel verleihen soll" und mittlerweile von zahlreichen Herstellern im Rahmen ihrer Entwicklungswerkzeuge unterstützt wird. Doch wo Licht ist, ist auch Schatten, wie jetzt auf der Black-Hat-Konferenz in Las Vegas betont wurde. Dort mahnten Experten, besser die Finger von Ajax zu lassen, wenn es um den Schutz von Geschäftsanwendungen geht. Billy Hoffman und Bryan Sullivan von SPI Dynamics präsentierten auf der Veranstaltung einen Katalog von unzähligen Attacken, die möglich sind, wenn Entwickler den Ratschlägen selbst seriöser Blogs folgen oder die auf Websites und Manuals gefundenen Skripte verwenden. Zwar gebe es viele Möglichkeiten, die damit verbundenen Sicherheitsrisiken einzudämmen, dennoch empfehle sich in letzter Konsequenz eine Ajax-Abstinenz. Die Forscher wollen etwa auf Ajax-basierenden Webshops Schwachstellen entdeckt haben, die in ähnlicher Form schon seit zehn Jahren bekannt sind.

Das große Problem von Ajax sei JavaScript, das die Browser-seitige Logik einer Applikation mehr oder weniger kryptisch als reinen Text darstellt, der von Hackern gelesen und modifiziert werden kann. Als eines von vielen Beispielen zeigten die SPI-Männer ein manipuliertes Flugbuchungssystem, bei dem der Ajax-Aufruf zur Bezahlung abgeschaltet, der Buchungsbefehl jedoch weiterhin aktiviert war. In einem anderen Fall wurde die Schwachstelle einer Ajax-basierenden Shop-Anwendung dahingehend ausgenutzt, dass sich auf der Client-Seite die Preise verändern ließen.

Viele Entwickler von Web-Applikationen sind sich nicht ausreichend bewusst, so die Spezialisten, dass man im Prinzip mit Ajax ein ganzes Bündel von Server-APIs öffentlich zugänglich macht. Das im Browser ablaufende JavaScript beschreibt zwar genau, wie und in welcher Reihenfolge diese Schnittstellen aufzurufen beziehungsweise zu nutzen sind. Für Hacker ist dies jedoch die Einladung, Veränderungen vorzunehmen. Unterstützt werde diese Situation durch den jüng zu beobachtenden Trend, Ajax-Anwendungen auch im Offline-Modus zu bedienen. (ComputerWoche/mja)