schwimmen-inner

SECURITY FITNESS

SCHLANK REALISIEREN

UNSER LEISTUNGSSPEKTRUM FÜR

Beschreibung

Mit Hilfe der Angriffsmethode Improper Parameter Redirection ist ein Angreifer in der Lage, Benutzer ihrer Webseite mittels eines präparierten Weiterleitungs-Links auf eine fremde Webseite zu lotsen, um dort Phishing-Angriffe durchzuführen wie z.B. das Abgreifen von Anmelde- oder Kreditkartendaten.

Der Angriff wird durch die mangelhafte Überprüfung von Parameterwerten in URLs möglich, über die das Weiterleitungsziel festgelegt wird. Eine Weiterleitungs-URL sieht z.B. so aus: www.beispiel.de/weiterleitung.php?ziel=www.beispiel.de/en/.
Hier wird bei Eingabe dieser URL eine Weiterleitung auf www.beispiel.de/en/ durchgeführt. Wenn die Weiterleitungsfunktion den Wert des Ziel-Parameters nur mangelhaft überprüft, kann ein Angreifer in Foren oder über E-Mails eine präparierte URL verteilen, die auf eine Webseite des Angreifers weiterleitet.

Ziel einer solchen Weiterleitung kann z.B. das Abgreifen von Anmeldedaten sein. Der Angreifer würde in diesem Fall die Opfer auf eine Webseite weiterleiten, die im Design identisch mit der Webseite ist, die das Opfer eigentlich besuchen wollte. Die Opfer merken meist nicht, dass sie getäuscht werden und geben unbewusst durch eine Anmeldung auf der gefälschten Webseite ihre Anmeldedaten im Klartext an den Angreifer weiter. Dieser kann sich nun auf der richtigen Webseite anmelden um Informationen abzurufen, zu manipulieren oder weitere Angriffe durchzuführen. Ein anderes Szenario dieses Angriffs ist die Weiterleitung auf Webseiten, die das Opfer mit Malware infizieren. Je nach Absicht des Angreifers kann diese Software dann Informationen abgreifen, das Betriebssystem manipulieren oder auch weitere Software wie z.B. Scareware installieren.

Bekannt gewordene Angriffe/Vorfälle

Klassifizierung

  • Laut OWASP ist die Improper Parameter Redirection als „Unvalidated Redirects and Forwards“ auf Platz 10 der Top Ten 2013 - der zehn häufigsten Sicherheitsrisiken für Webanwendungen - und kann schwerwiegende Auswirkungen haben, siehe -> OWASP_Top_Ten_Project.
  • Das Web Application Security Consortium (WASC) klassifiziert Improper Parameter Redirection als Angriff, siehe -> WASC: Redirector Abuse
  • miDAS klassifiziert die Schwachstelle als „mittel“.

Kontakt

Am 1. Oktober 2015 wurde der Geschäftsbetrieb der mikado ag auf die ft consult Unternehmensberatung AG übertragen.

Die Leistungen werden selbständlich in gewohnter Qualität auch künftig bereit gestellt.

Bitte setzen Sie sich mit uns in Verbindung.

München

ft consult Unternehmensberatung AG
Fürstenrieder Straße 5
80687 München

Tel.: +49 89 589 273 3
Fax: +49 89 589 273 59 
info@ft-consult.com   
www.ft-consult.com

Frankfurt am Main

ft consult Unternehmensberatung AG
Oeder Weg 48
60318 Frankfurt am Main 

Berlin

ft consult Unternehmensberatung AG
Georgenstraße 35
10117 Berlin

Tel.: +49 30 206 396 90