Angriffe und Bedrohungen
Cookie Poisoning
Definition
Angriff, der den Inhalt von HTTP-Cookies vor dem Zurücksenden an eine Webanwendung manipuliert, um Vertrauens-, Identitäts- oder Geschäftslogikentscheidungen zu verändern.
Beispiele
- Ein Nutzer ändert das Cookie role=user in role=admin und erhält Zugriff auf Admin-Seiten, weil der Server die Integrität nicht prüft.
- Ein Onlineshop speichert den Preis im Cookie; der Angreifer ändert ihn vor dem Checkout und zahlt nur einen Cent.
Verwandte Begriffe
Cookie-Hijacking
Diebstahl und Wiederverwendung von HTTP-Cookies eines Nutzers — meist Session- oder Authentifizierungs-Cookies — um sich gegenüber einer Webanwendung als dieser Nutzer auszugeben.
Session Hijacking
Angriff, der die authentifizierte Sitzung eines Opfers übernimmt, indem die Session-ID gestohlen oder gefälscht wird, sodass der Angreifer ohne Zugangsdaten als Nutzer agieren kann.
Parameter-Manipulation
Angriff, bei dem ein Angreifer Parameter in HTTP-Requests, Cookies oder versteckten Formularfeldern verändert, um das Verhalten einer Anwendung zu manipulieren.
Defekte Zugriffskontrolle
Schwachstellenklasse, in der Autorisierungsregeln fehlen oder falsch durchgesetzt werden, sodass Benutzer Aktionen oder Daten außerhalb ihrer Rechte erreichen.
Cross-Site-Scripting (XSS)
Web-Schwachstelle, mit der Angreifer bösartige Skripte in Seiten injizieren, die andere Nutzer öffnen, sodass der Code im Browser des Opfers unter der Origin der Seite ausgeführt wird.
Session Management
Session Management — definition coming soon.