OWASP Top Ten: A6 – Verlust der Vertraulichkeit sensibler Daten

von Michael Cyl

Dieser Blogbeitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, erläutert die Gefahr der Preisgabe von sensiblen Daten und wie Sie Ihre Anwendung sowie deren Benutzer davor schützen können.

Bei sensiblen Daten handelt es sich beispielsweise um Gesundheits-, Kreditkarten- oder auch Zugangsdaten, deren Vertraulichkeit sowohl bei der Speicherung als auch bei der Übertragung zu jeder Zeit gewährleistet sein muss. Aufgrund der Sensibilität der Daten sowie deren Vertraulichkeitsanforderungen und vor allem durch das damit verbundene hohe Schutzniveau sind entsprechende Angriffe einerseits zwar häufig sehr komplex und aufwendig, andererseits stellen die möglicherweise erbeuteten Informationen durchaus lohnende Ziele für potentielle Angreifer dar.

Beispielszenarien:
  • Anmeldedaten werden vom Browser des Benutzers im Klartext oder mit veralteten Verschlüsselungsverfahren zur Webapplikation übermittelt und können daher durch einen Angreifer mit Zugriff auf den Netzwerkverkehr, z.B. im Rahmen eines sogenannten Man-In-The-Middle-Angriffs, mitgelesen bzw. entschlüsselt werden.
  • Passwörter wurden durch einen SQL-Injection-Angriff erbeutet, aber glücklicherweise nicht im Klartext, sondern als Hash-Wert gespeichert. Allerdings sind diese durch einen fehlenden „Salt“ respektive „Pepper“ dennoch anfällig für Wörterbuch- und Brute-Force-Angriffe.
    Bei Wörterbuchangriffen werden sogenannte „Rainbow Tables“ verwendet, welche die vorberechneten Hash-Werte für eine Vielzahl von möglichen Kennwörtern enthalten. Damit können vor allem schwache Kennwörter sehr schnell und mit geringem Rechenaufwand bestimmt werden. Hätte die Webapplikation die Passwörter vor der Erzeugung der Hash-Werte jeweils mit einem benutzerspezifischen Datum, wie beispielsweise der E-Mail-Adresse, verknüpft bzw ...
Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK