nicht angemeldet
Hi Peter,
danke dir für deine Mühen.
Genau. Beide Angriffsszenarien funktionieren in der Regel dann, wenn der Benutzer GET- oder POST-Parameter manipuliert, und diese ungeprüft gelesen und wieder ausgegeben werden. Klassiker: das Suchfeld, bei dem man die Benutzereingabe wieder ausgibt (ungeprüft und unverändert). Hier kann ich mit einem kleinen Javascript-Schnipsel etwas beim Client tun.
genau. der java-script muss dann, wenn bei mir unverändert eingeschleust und beim client etwas getan hat, bsp den cookie ausgelesen, dann diesen auch irgendwie mir (Dem hacker X) zukommen lassen / zugänglich machen.
Du kannst ein Servlet ja auf jedes mögliche URL-Pattern lauschen lassen, z.B. *.gif. Das ist in der web.xml angegeben. Bei einer JSP ist das wieder nicht so einfach, da muss schon ein Controller-Servlet davorhängen.
Ach, stimmt ja. Genau. Dann sich dies auch erledigt. Wie es beim JSP läuft, bzwl. dass es nicht so einfach ist, da ein Controller-Servlet davor muss, habe ich zwar nicht verstanden, schaue ich mir aber bei Gelegenheit an.
- Jetzt kommt die Sicherheitsvorkehrung von URL-Rewriting ins Spiel, dass nur auf den Ursprungsserver (besser ContextPath) angewendet wird. Diese Sicherheitsvorkehrung bringt jedoch im Falle vom img-tag nichts, da ich ja den Ursprungsserver angeprochen habe eigentlich und da innerhalb ein img-tag (ein Request auf den Servers des Hackers) ausgelöst wurde)
Nö, wenn Dein Server folgender ist: goodboy.invalid, und der Hackerserver badboy.invalid hat, dann zeigt das Bild, das der Angreifer über einen Parameter in Deine Anwendung geschleust hat, ja auf http://badboy.invalid/evil/image.gif. Wenn jetzt Deine Anwendung bei fehlender Transportmöglichkeit der SessionID in einem Cookie die URLs verändert (auch diejenigen, die aus Deiner Anwendung rauszeigen), dann würde der Angreifer die SessionID des aktuellen Benutzers über die Query-Parameter (GET) erhalten.
oki, meine Anwendung würde praktisch innerhalb der Anwendung auch die URL's verändern, die rauszeigen. Dann erklärt das alles und die Sicherheitsvorkehrung würde wenig bringen.
Nochmals vielen Dank, die Tage könnte es möglich sein, dass ich mit einem neuen Thread abstract, interfaces usw. nerven könnte, aber davor will ich mir das nochmal anschauen, dass meine Frage erst garnicht auftaucht, bzw. ich dann verständlicher fragen kann.
viele grüße und ein schönes wochenende eigentlich ab morgen :-)