Webtechnologien: Unterschied zwischen den Versionen
Drlue (Diskussion | Beiträge) Die Seite wurde neu angelegt: „= HTTP Protokoll = == Aufbau HTTP Request/Response == == Methoden == == Zustandslosigkeit == = HTML = = Javascript = = CSS = = Json = = Single Page Ap…“ |
Drlue (Diskussion | Beiträge) |
||
| Zeile 24: | Zeile 24: | ||
= Sicherheitsrisiken = | = Sicherheitsrisiken = | ||
Im folgenden werden ausgewählte Sicherheitsrisiken im Zusammenhang mit Webseiten erläutert. | |||
== CSRF == | == CSRF == | ||
'''C'''ross '''S'''ite '''R'''equest '''F'''orgery, ist eine Angriffsmethode bei dem die gespeicherten Anmeldedaten des Benutzers verwendet werden um Requests durchzuführen, die nicht vom Benutzer selbst durchgeführt werden sollen.<br> | |||
== XSS == | === Unterschieben der URL === | ||
Ist ein Benutzer bei einer Webseite angemeldet, so wird diese Anmeldeinformation als '''Cookie''' im Browser gespeichert. Bei jedem Request an diese Webseite wird das Cookie vom Browser mitgesendet, und der Server verwendet es um den Benutzer zu authentifizieren. Das '''Cookie''' wird auch mitgesendet wenn die Anfrage nicht von der Webseite selbst, sondern von einer anderen Webseite stammt.<br> | |||
Angenommen der Benutzer ist auf der Seite '''https://vol.at''' angemeldet. Um einen Kommentar für einen Artikel zu erstellen wird ein '''POST''' Request auf '''https://vol.at/14512/''' benötigt.<br> | |||
Der Angreifer bringt auf irgendeine Weise (z.B.: Phishing Mails) den Benutzer dazu, auf seine eigene Webseite zu navigieren. | |||
Beim Aufruf diese Bösen Webseite kann nun direkt über '''Javascript''' ein '''POST''' Request auf '''https://vol.at/14512/''' mit einem Unangebrachten Kommentar ausgeführt werden. | |||
=== XSS === | |||
Version vom 24. Januar 2021, 16:21 Uhr
HTTP Protokoll
Aufbau HTTP Request/Response
Methoden
Zustandslosigkeit
HTML
Javascript
CSS
Json
Single Page Application
AJAX
SPA Frameworks
Anwendungsstate speichern
Sicherheitsrisiken
Im folgenden werden ausgewählte Sicherheitsrisiken im Zusammenhang mit Webseiten erläutert.
CSRF
Cross Site Request Forgery, ist eine Angriffsmethode bei dem die gespeicherten Anmeldedaten des Benutzers verwendet werden um Requests durchzuführen, die nicht vom Benutzer selbst durchgeführt werden sollen.
Unterschieben der URL
Ist ein Benutzer bei einer Webseite angemeldet, so wird diese Anmeldeinformation als Cookie im Browser gespeichert. Bei jedem Request an diese Webseite wird das Cookie vom Browser mitgesendet, und der Server verwendet es um den Benutzer zu authentifizieren. Das Cookie wird auch mitgesendet wenn die Anfrage nicht von der Webseite selbst, sondern von einer anderen Webseite stammt.
Angenommen der Benutzer ist auf der Seite https://vol.at angemeldet. Um einen Kommentar für einen Artikel zu erstellen wird ein POST Request auf https://vol.at/14512/ benötigt.
Der Angreifer bringt auf irgendeine Weise (z.B.: Phishing Mails) den Benutzer dazu, auf seine eigene Webseite zu navigieren.
Beim Aufruf diese Bösen Webseite kann nun direkt über Javascript ein POST Request auf https://vol.at/14512/ mit einem Unangebrachten Kommentar ausgeführt werden.