XSA

XSA

Als Cross-Site Authentication (kurz: XSA) bezeichnet man einen Angriff gegen eine Webanwendung durch die aufgrund einer Computersicherheitslücke ein Angreifer fremde Passwörter ausspionieren kann. Hierbei handelt es sich um eine Form der Cross-Site Request Forgery.

Diese Lücke kann ausgenutzt werden, wenn ein Webforum, ein Weblog oder ähnliche Systeme das Einbinden von Bildern durch nicht vertrauenswürdige Benutzer zulässt. Ein Angreifer bindet dazu ein beliebiges Bild in einen Beitrag ein, welches durch den Webserver durch HTTP Auth geschützt ist. Ruft ein Benutzer den Beitrag auf, fordert ihn sein Webbrowser auf, eine Benutzer/Passwort-Kombination einzugeben, welche dann vom Webserver des Angreifers gespeichert werden kann.

Diese Sicherheitslücke lässt sich jedoch nur ausnutzen, wenn der Benutzer überhaupt ein Passwort eingibt. Bei einer Webseite, auf der normalerweise keine Passwörter verlangt werden, ist das schon unwahrscheinlich. Dazu muss der Benutzer auch noch einen Benutzernamen eingeben. Der Angreifer hat also im besten Fall eine Kombination aus Benutzername und Passwort, weiß aber erstmal nicht, wofür diese Kombination überhaupt gilt. Zudem erscheint die Passwortabfrage nicht als HTML-Formular, wie es wohl die meisten Webbenutzer gewohnt sind, sondern in einem eigenen Fenster, und ist somit auffällig.

Cross-Site Authentication kann durch den Browser begünstigt werden, indem dieser im Passwort-Dialog den Namen des zur Passwort-Eingabe auffordernden Webservers nicht deutlich genug anzeigt.

Schutz

Gegen diese Art von Angriffen gibt es viele Schutzmöglichkeiten:

  • Der Dienstanbieter kann dafür sorgen, dass keine Bilder oder sonstigen Inhalte aus externen Quellen in die Webseite eingebunden werden können. Dies geht Hand in Hand mit dem Verhindern von Cross-Site Scripting.
  • Der Browserhersteller kann im Falle eines vermuteten Angriffs deutliche Warnhinweise ausgeben. Eine weitere Möglichkeit ist, bei eingebetteten Elementen von fremden Webserver grundsätzlich die Authentikations-Mechanismen zu unterbinden.
  • Der Benutzer kann durch Aufmerksamkeit feststellen, ob sich die Webseite ungewöhnlich verhält. Wenn das Passwort normalerweise in einem Formular abgefragt wird, ist es verdächtig, wenn auf einmal ein neues Fenster erscheint.

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • XSA — In computer science, XSA (better known as Cross Server Attack) is a networking security intrusion method which allows for a malicious client to compromise security over a website or service on a server by using implemented services on the server… …   Wikipedia

  • XSA — XML Software Autoupdate (Computing » Software) …   Abbreviations dictionary

  • XSA — cross section area …   Medical dictionary

  • xsa — ISO 639 3 Code of Language ISO 639 2/B Code : ISO 639 2/T Code : ISO 639 1 Code : Scope : Individual Language Type : Ancient Language Name : Sabaean …   Names of Languages ISO 639-3

  • XSA — abbr. XML Software Autoupdate …   Dictionary of abbreviations

  • XSA — • cross section area …   Dictionary of medical acronyms & abbreviations

  • hissbəxşa — ə. və f. hiss etdirən …   Klassik Azərbaycan ədəbiyyatında islənən ərəb və fars sözləri lüğəti

  • rəxşa(n) — f. parlaq, parıldayan, işıldayan, işıqlı …   Klassik Azərbaycan ədəbiyyatında islənən ərəb və fars sözləri lüğəti

  • Cross-Site Authentication — Als Cross Site Authentication (kurz: XSA) bezeichnet man einen Angriff gegen eine Webanwendung durch die aufgrund einer Computersicherheitslücke ein Angreifer fremde Passwörter ausspionieren kann. Hierbei handelt es sich um eine Form der Cross… …   Deutsch Wikipedia

  • Liste des codes ISO 639-3 — L ISO 639 3 est une partie de la norme ISO 639 qui définit une codification des noms de langues, avec un niveau de détail linguistique fin, puisqu elle contient 7 622 item (sur les 26 × 26 × 26 = 17 656 combinaisons possibles de code… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”