Webanwendungen sind täglich automatisierten Angriffen ausgesetzt. Oft werden dabei legitime Funktionen missbraucht, was die Erkennung erschwert. Dieser Leitfaden stellt die 21 vom Open Worldwide Application Security Project (OWASP) definierten Arten von automatisierten Angriffen vor und erklärt, wie sich Unternehmen dagegen schützen können.
Inhalt:
Laut dem Statistikportal Statista werden mittlerweile fast 50 Prozent des Internetverkehrs von Bots verursacht. Viele von ihnen sind durchaus nützlich und haben eine legitime Daseinsberechtigung. Sie indexieren beispielsweise Webseiten für Suchmaschinen oder fragen Flugdaten, Lagerbestände und andere wichtige Informationen auf Partnerseiten ab.
Zwei Drittel des Bot-Traffics stammen jedoch von Schadprogrammen. Sie stehlen Kreditkartendaten, kopieren ganze Webauftritte, manipulieren E-Commerce-Angebote oder verursachen einen Denial of Service (DoS). Viele dieser Bots arbeiten automatisiert, immer mehr nutzen bereits künstliche Intelligenz, um sich zu tarnen und menschliches Verhalten täuschend echt nachzuahmen.
Dieser Leitfaden beschreibt die 21 automatisierten Webangriffsmethoden, die vom Open Worldwide Application Security Project (OWASP) identifiziert und klassifiziert wurden. Er zeigt aber nicht nur ihre Funktionsweise und Gefährlichkeit, sondern gibt auch Tipps, wie man sich am besten gegen sie wehren kann.
Lesen Sie unter anderem:
- Was es mit Carding, Scalping und Scraping auf sich hat.
- Wie Angreifer mit Bots eine Multi-Faktor-Authentifizierung aushebeln können.
- Was eine leistungsfähige Bot-Management-Lösung können muss.
Originalauszug aus dem Dokument:
OAT-04: Fingerprinting
Mit Fingerprinting werden spezifische Anfragen an die Applikation gesendet, um ihr Informationen zu entlocken und ein Profil der Applikation zu erstellen. Dabei werden in der Regel die Namen und Werte von HTTP-Headern, Namen und Formate von Sitzungs-IDs, Inhalte von Fehlerseitenmeldungen, Groß- und Kleinschreibung im URL-Pfad, URL- Pfad-Muster, Dateierweiterungen und eventuelle softwarespezifische Dateien und Verzeichnisse ausgewertet.
Fingerprinting ist oft auf Datenlecks angewiesen, und die Profilerstellung kann auch Aufschluss über die Netzarchitektur/Topologie geben. Fingerprinting kann sogar ohne direkte Nutzung der Applikation erfolgen, d. h. durch Abfragen eines Speichers mit ungeschützten Applikationsattributen, wie beispielsweise im Index einer Suchmaschine.
Mögliche Symptome sind einzelne HTTP-Anfragen, oft gar keine, aber auch Anfragen für eine Vielzahl fehlender Ressourcen und Anfragen für selten angeforderte Ressourcen.
Abwehr
Zu den bewährten Best Practices zählen die Randomisierung der Inhalte und URLs von Zahlungsseiten und -formularen sowie die Begrenzung von Autorisierungsversuchen pro Sitzung, Benutzer, IP-Adresse, Gerät und Fingerprint.
Bot-Abwehrlösungen sollten Methoden zur Erkennung und Verhinderung von Fingerprinting-Angriffen verwenden, mit denen nach potenziellen Schwachstellen gesucht wird, die sich für schädliche Angriffe ausnutzen lassen.