Die hochsensiblen Daten Ihrer Webapplikation benötigen besonderen Schutz. Der in den Applikationen verwendete HTML-Code ist für jeden User im Klartext einsehbar und bietet so eine potentielle Angriffsfläche. Je nach Komplexität der Applikation ist es mit vertretbarem Aufwand nicht mehr möglich den gesamten Code auf etwaige Schwachstellen/Sicherheitslöcher zu prüfen. Ein simples Beispiel zu Veranschaulichung: Ein Webshop führt unterschiedliche Preislisten, die jeweils bestimmten Nutzern (z.B. Großhandel) zugänglich sind. Wird nun ein Artikel in den Warenkorb gelegt, so könnte die URL so aussehen: ...addtobasket?artnr=2942&pricelist=45 Nun bietet sich hier ein leicht erkennbarer Angriffspunkt für URL-Hacking an: Der Preislisten-Parameter pricelist=45 ist z.B. für eine Händler-A-Preisliste vorgesehen. Man könnte beispielsweise nun einen Parameter pricelist=46 eingeben, und der gewünschte Artikel, den man sich in den Warenkork gelegt hat, wird mit dem Preis aus Händler-B-Preisliste bestellt. Wird dieser vom Client veränderte Wert von der Applikation ungeprüft übernommen und an das verarbeitende ERP-System weitergeleitet, so könnte dadurch Schaden entstehen. Genau hier setzt secure cms42 an: Es analysiert jedes generierte HTML-Dokument, das an den Browser des Users geschickt werden soll. Alle darin enthaltenen Links und Formulare werden mit einem Token (= Prüfsumme) signiert. Erst dann wird die HTML-Seite an den Browser des Users ausgeliefert. Sofern der User den mittlerweile an die Applikation zurück gesendeten HTML Code manipuliert hat, stimmen die Tokens nicht mehr mit den übertragenen Parametern überein. Die versuchte Manipulation wird entdeckt und seitens secure cms42 umfassend abgewehrt. |
||||
|
||||
