Unsichere Web-Anwendungen: Einfallstor für Hacker

So zeigen Webshops statt Produktlisten plötzlich die Kreditkartennummern aller angemeldeten Benutzer an, Preise lassen sich über das Internet ändern oder Datenbanken geben die Firmenumsätze der letzten Tage heraus. Da die Firewall davon nichts merkt, gibt es jetzt spezielle „Application Security Gateways“, die die Eindringlinge stoppen sollen.

Wenn ein Nutzer Bücher von Hesse kaufen will, muss er sich im Online-Shop nicht durch den gesamten Katalog arbeiten. Er tippt einfach „Hesse“ in ein Feld und klickt auf „Suchen“. Die Web-Anwendung holt sich nun ihre Informationen aus der dahinter liegenden Datenbank, sie reicht die Suchanfrage ungeprüft nach hinten weiter, und bekommt eine Liste der Ergebnisse zurück.

Diese Arbeitsweise hat gleich mehrere Sicherheitslücken: Sobald der Nutzer eine Abfrage startet, kommen seine Daten über den offenen http-Port 80 ins Unternehmensnetz. Daten, die über diesen Port laufen, werden von den meisten Firewalls ignoriert, denn hier spielt sich der gesamte Internet-Verkehr eines Unternehmens ab. Die Firewall prüft allenfalls, ob die Pakete wirklich http-Pakete sind, um den Datenstrom möglichst ungehindert durchzulassen.

Weder Server noch Datenbank, noch Firewall schauen hingegen nach, ob die Eingabe unseres Nutzers überhaupt zulässig ist – ob sie zum Beispiel statt eines einfachen Wortes auch Ausrufezeichen, Hochkommata oder Semikolons enthält, wie es bei Programmbefehlen der Fall ist. Diese Nachlässigkeit nutzen Hacker aus und geben statt eines Suchwortes SQL-Befehlsketten ein – der gefürchtete „SQL-Injection“-Angriff. Der Server reicht diese SQL-Befehle klaglos an die Datenbank weiter – und diese gehorcht. Auf diese Weise kann der Hacker nicht nur alle möglichen Informationen bekommen, sondern unter Umständen sogar ändern – und seinen Hesse zum Nulltarif bestellen.