Sparkassen schlampen beim Online-Banking: Cross-Site-Scripting(XSS)-Angriff möglich

Sicherheit bei Online-Banking mit "hyperguard" Schutz gegen XSS

(30.05.07) - Sparkassen schlampen beim Online-Banking: In einem von heise.de beschriebenen Szenario hätte ein Angreifer in der URL der Log-in-Seite einer Bank eine weitere URL verstecken können. Der Grund: Der Parameter "Konto" in der URL der Log-in-Seite wird von der Anwendung nicht überprüft; so könnte er für einen Cross-Site-Scripting(XSS)-Angriff genutzt werden. Ein Nutzer, der auf einen derart veränderten Link - beispielsweise in einer E-Mail - klickt, kommuniziert zwar mit dem Server der Bank, jedoch fängt der Angreifer die relevanten Daten wie PIN/TANs ab und kann diese dann für eigene Zwecke verwenden.

Sicherheit vor solchen und anderen XSS-Angriffen bietet eine Web Application Firewall, die den Administrator beispielsweise mit automatisiert vorgeschlagenen Regeln für die Eingabefelder einer Web-Seite unterstützt.

hyperguard, eine Software für Web-Applikationssicherheit vom Regensburger Unternehmen art of defence, würde einer Bank aus der Analyse der Log-Files für das Eingabefeld "Konto" eine spezielle Regel vorschlagen, die beispielsweise maximal zehn Ziffern, jedoch keine weiteren Eingaben zulässt. In dem oben geschilderten Fall wäre der Link mit der versteckten URL also von hyperguard nicht ausgeliefert worden. (art of defence: ra)