Immer häufiger erfahren wir über erfolgreiche Angriffe, die Hacker auch auf große und global verbreitete Internetportale ausüben. Dabei wird sehr oft ein Zugang zu Benutzerkonten erzwungen, ohne dabei die Zugangsdaten wie Benutzername oder Passwort auszuspähen. Derartige Angriffe erfolgen durch Erraten bzw. Diebstahl von Session-Merkmalen. Diese so genannten Cookies sind ein wichtiges Merkmal um eine Benutzersession eindeutig zu identifizieren. Sind diese Cookies zu trivial oder die Werte zu kurz, kann man auch den Inhalt des Cookies ermitteln und in eine neue HTTP-Session injizieren, dadurch hat ein Angreifer eine identische Benutzerverbindung zum Server übernommen. Das Erraten der Cookie-Information kann mittels Brute-Force-Attacken stattfinden. Das Stehlen von Cookie-Informationen erfolgt häufig durch Cross-Site-Scripting (XSS), hierbei werden schadhafte Scripte in die Webanwendung eingeschleust.
Doch wie kann man sich vor solchen Angriffen schützen? Aus Benutzersicht kann hier nichts unternommen werden, die Schwächen liegen eindeutig in der Webanwendung. Internetportalanbieter und auch jedes Unternehmen mit Webauftritt sind gut beraten, mit einer vorgeschalteten Web-Application-Firewall (WAF) die beschriebenen Schwachstellen zu eliminieren. Zum einen ist die WAF in der Lage, einen weiteren aus Crypto-Funktionen erstellten und sehr langen Session-Cookie hinzuzufügen, dessen Inhalt und Wert nur sehr schwer zu erraten oder zu ermitteln ist. Ebenso ist eine WAF in der Lage, XSS-Angriffe durch Signaturabgleich zu identifizieren und abzuwehren. Somit lassen sich gleich zwei Fliegen mit einer Klappe schlagen: Cookies können weder erraten, noch gestohlen werden.
Ralf Sydekum, Technical Manager DACH, F5 Networks
