INTERNET WORLD Logo Abo
Sonstiges 03.08.2012
Sonstiges 03.08.2012

E-Commerce Sicherheit Top vier Sicherheitslücken bei Webshops

Es ist der größte Alptraum jedes Online-Shopanbieters: Eine Sicherheitslücke im System führt dazu, dass personenbezogene Daten der User von Dritten ausgespäht werden können oder der Shop nicht mehr zugreifbar ist. Alexander Waldmann, Sicherheits-Experte bei dem Softwaretesting-Unternehmen TestCloud beschreibt, was die vier häufigsten Sicherheitslücken sind.

Sicherheitslücken in Onlineshops sind weit verbreitet, vor allem da bestimmte Angriffe von den Shopbetreibern oft jahrelang nicht bemerkt werden. Alexander Waldmann warnt besonders vor den zwei gängigsten Angriffsarten: Datendiebstahl und Zerstörung. Zunächst mag es schlimmer erscheinen, wenn ein Onlineshop keinen Umsatz mehr generieren kann, weil er durch Denial-of-Service-Angriffe (Zerstörung) lahmgelegt ist, und somit kein Nutzer mehr zugreifen und bestellen kann. Allerdings hat kaum ein Konkurrent Interesse daran, den Onlineshop der Wettbewerber offline zu schalten.

Viel interessanter und damit häufiger ist der stille, vom Shopbetreiber unbemerkte Datendiebstahl. Die Konkurrenz oder sonstige Angreifer dürften eher daran interessiert sein, unbemerkt Kundendaten zu stehlen, um diese zu missbrauchen. Zielgerichtete Rundschreiben an gestohlene Email-Verteiler eines Konkurrenz-Shops (der ein ähnliches Produkt anbietet) erzielen eine hohe Conversion-Rate und sind somit lukrativ. Zudem ist die Wahrscheinlichkeit, dass der Shopbetreiber dem Datenklau auf die Spur kommt, gering - eine Strafverfolgung ist somit unwahrscheinlicher als bei einem offenkundigen Denial-of-Service-Angriff, den meist noch der Serverbetreiber selbst verfolgen würde. 

Im Folgenden finden Sie eine Aufstellung der vier häufigsten und fatalsten Sicherheitsproblemen in Onlineshops, die im Rahmen von Testcloud-Sicherheitstests identifiziert wurden.

1. Datendiebstahl (Variante 1: Cross Site Scripting)
2. Datendiebstahl und Denial of Service (Variante 2: SQL Injection)
3. Unbeabsichtigter Datendiebstahl: Session Hijacking
4. Denial of Service

1. Datendiebstahl (Variante 1: Cross Site Scripting)

Sehr verbreitet finden sich Sicherheitslücken der Art Cross Site Scripting (kurz: XSS), die zum Stehlen von Nutzerdaten verwendet werden können. Nutzereingaben werden von der Webapplikation, z.B. dem Onlineshop, nicht korrekt verarbeitet, so dass Angreifer durch geschicktes Einschleusen von Javascript-Programmcode die Oberfläche des Shops temporär manipulieren können. Angreifer können dies nutzen, um Phishing-Attacken zu starten und so unter anderem ein manipuliertes Login-Formular einzublenden. Das sendet im Hintergrund Benutzername und Passwort an den Server des Hackers, der sich daraufhin mit dem Konto der Nutzer einloggen kann. Hierdurch kann der Angreifer alle Daten stehlen, die der Nutzer in seinem Konto hinterlegt hat (und diese gesammelten Daten verkaufen), oder Bestellungen im Namen dieses Kunden ausführen. Auch könnte der Angreifer dem Nutzer ein Formular einblenden, dass direkt dessen Kreditkartendaten abfragt. Werden diese Kreditkartendaten dann vom Angreifer missbraucht, wird der Kunde zunächst den Shopbetreiber als Schuldigen identifizieren. 

Diese Art von Sicherheitslücke ist extrem verbreitet, vermutlich vor allem deshalb, weil vielen Shopbetreibern die Implikationen derartiger Lücken nicht klar sind. Es ist einem Angreifer zwar nicht möglich, alle Daten des Shops auszulesen oder etwas dauerhaft im Shopsystem zu manipulieren, dennoch ist diese Sicherheitslücke als kritisch anzusehen. Ohne dass der Shopbetreiber dies leicht bemerken kann, werden Kundendaten gestohlen. Bis diese Art von Lücke aufgedeckt wird, wurden möglicherweise schon tausende Nutzerdaten für den Adresshandel abgegriffen.

1. Datendiebstahl (Variante 1: Cross Site Scripting)
2. Datendiebstahl und Denial of Service (Variante 2: SQL Injection)
3. Unbeabsichtigter Datendiebstahl: Session Hijacking
4. Denial of Service

Zurück zur Startseite

2. Datendiebstahl und Denial of Service (Variante 2: SQL Injection)

Auch, wenn es zum Glück seltener geworden ist, gibt es eine erschreckend hohe Anzahl an Onlineshops, die noch gravierende Sicherheitslücken aufweisen, wie beispielsweise SQL Injections. Hierbei kann ein Angreifer durch unsichere Programmierung der Datenbankanbindung des Shopsystems vollen Datenbankzugriff erlangen, und somit sämtliche Shop-internen Daten kopieren und sogar manipulieren. Sollte der Shop tatsächlich Kreditkartendaten im Klartext in der Datenbank ablegen (was ohnehin schon mal äußerst fragwürdig wäre), würde der Angreifer diese abgreifen können und entweder selber missbrauchen oder aber weiter verkaufen.

Der Schaden für den Shopbetreiber wäre immens. Neben dem stillen Datendiebstahl ist hier auch ein Denial of Service möglich. Das simple Löschen der Shopdatenbank reicht bei den meisten Shopbetreibern aus, um den Onlineshop für mehrere Wochen offline zu schalten, da nach wie vor viele Shopbetreiber keine geeigneten Backup-Mechanismen haben. Kürzlich eingegangene Bestellungen gehen so dauerhaft verloren, Umsatzverlust ist die Folge.

1. Datendiebstahl (Variante 1: Cross Site Scripting)
2. Datendiebstahl und Denial of Service (Variante 2: SQL Injection)
3. Unbeabsichtigter Datendiebstahl: Session Hijacking
4. Denial of Service

Zurück zur Startseite

3. Unbeabsichtigter Datendiebstahl: Session Hijacking

Es gibt sie noch - die Onlineshops, die auch ohne Session-Cookies funktionieren, meist durch URL-Rewriting. Leider haben diese Shops ein großes Problem: Session Hijacking. Da die Session ID in der URL des Shops enthalten ist, besteht die Möglichkeit, dass ein Nutzer des Shops einen Link an einen Kollegen weiterleitet, damit dieser sich ein Produkt ansieht, und dabei eine URL weiterleitet, die die Session ID beinhaltet. War der Nutzer, der den Link weitergeleitet hat, im Onlineshop angemeldet, und klickt der andere Nutzer nun auf diese URL, so ist auch dieser Nutzer plötzlich im Onlineshop angemeldet und kann im Namen des Anderen Bestellungen ausführen sowie dessen persönliche Daten einsehen und verändern.

Im schlimmsten Fall kommt es dazu, dass eine Suchmaschine eine URL indiziert, die eine Session ID beinhält. Klickt nun Nutzer A auf diesen Link und meldet sich im Onlineshop an, so sind alle Nutzer, die danach auf den Link klicken, ebenfalls als Nutzer A angemeldet und können dessen persönlichen Daten einsehen.

1. Datendiebstahl (Variante 1: Cross Site Scripting)
2. Datendiebstahl und Denial of Service (Variante 2: SQL Injection)
3. Unbeabsichtigter Datendiebstahl: Session Hijacking
4. Denial of Service

Zurück zur Startseite

4. Denial of Service

Häufige Sicherheitslücken in Onlineshops, die zu drastischen Umsatzeinbrüchen führen können, sind sogenannte Denial-of-Service-Angriffe. Weit verbreitet sind veraltete Server-Versionen, die durch einen Angreifer leicht erkennbar sind. So weist beispielsweise der Apache Webserver in den Versionen 2.2.0 bis 2.2.19 eine Sicherheitslücke auf, die es einem Angreifer ermöglicht, den Server binnen Sekunden lahm zu legen. Damit ist der Shop nicht mehr erreichbar, bis ein Administrator auf das Problem aufmerksam wird und den Server neu startet. Bei kontinuierlichen Attacken dieser Art bleibt der Server so lange offline (er wird immer wieder abstürzen), bis der Administrator die Server-Software aktualisiert hat.

Ein weiteres, sehr häufiges Problem: Unkontrollierter Email-Versand. Manche Shopsysteme ermöglichen es Angreifern, bei Kenntnis einer Emaildresse eines Kunden, der im Shopsystem registriert ist, das Email-Postfach dieser Person mit abertausenden Emails zu füllen, in dem einfach wiederholt ein "Passwort-Reset" angefordert wird. Manche Shopsysteme haben keinerlei Beschränkungen zeitlicher Natur oder in Bezug auf die Anzahl angeforderter Passwort-Resets, sodass das Shopsystem selbst durch einen Technik-Laien dazu gebracht werden kann, Unmengen an Emails an eine bestimmte Adresse zu versenden.

Ein weiteres beliebtes Angriffsziel für Email-Spam sind die Empfehlungs-Formulare, mit denen man einem Freund eine Email zukommen lassen kann, um zum Beispiel auf ein Hotel auf einer Reisebüro-Seite aufmerksam zu machen. Hier kann der Nutzer meist frei angeben, an welche Emailadresse die Empfehlung gesendet werden soll. Ist das Shopsystem nicht entsprechend gesichert, kann ein Angreifer hier eine beliebige Emaildresse mit abertausenden Emails bombardieren, je nachdem, welche Felder das Empfehlungs-Formular anbietet. 

Neben den unmittelbaren, negativen Folgen für den Empfänger des Email-Bombardements mit möglichen Schadensersatzforderungen gegenüber dem Webseiten-Betreiber, kann dies weitere dramatische Folgen nach sich ziehen. Wer sich schon mal gefragt hat, wieso die Emails des Onlineshops bei Kunden (beispielsweise bei Googlemail-Adressen) regelmäßig im Spamordner landen: Wahrscheinlich wurde irgendwo ein Kunde über ein ungesichertes Formular des Shops bombardiert, und hat die Emails als Spam markiert. Passiert dies bei mehreren Nutzern eines Emailanbieters, landet der entsprechende Mailserver schnell auf einer Blacklist, und die Emails werden ab sofort automatisch als Spam/Junk eingeordnet und sind damit für viele Nutzer letztlich unauffindbar. Erkennt ein moderner Emailanbieter, dass ein Mailserver gerade "Amok läuft", so kann es auch vorkommen, dass dieser kurzzeitig komplett gesperrt wird und keine Emails mehr von diesem Server akzeptiert werden, da der Emailanbieter selbst sich hier einem Denial-of-Service-Angriff ausgesetzt sieht. Eine mögliche Folge wären verloren gegangene Bestellbestätigungen und entsprechende Umsatzausfälle. Auch Newsletter, die ständig als Spam wegsortiert werden, können Ihre Wirkung nicht mehr entfalten. Die Schäden dieser Art sind meist lang anhaltend.

1. Datendiebstahl (Variante 1: Cross Site Scripting)
2. Datendiebstahl und Denial of Service (Variante 2: SQL Injection)
3. Unbeabsichtigter Datendiebstahl: Session Hijacking
4. Denial of Service

Zurück zur Startseite

Das könnte Sie auch interessieren