Das Internet wird interaktiver. Und das schon seit Jahren. Immer mehr Geschäftsprozesse werden ins Netz verlagert. Das macht aber die Anwendungen mit denen das bewerkstelligt wird, nicht unbedingt sicherer. Sog. „business logic flaws“, d.h. Fehler oder Schwächen in der programmtechnisch abgebildeten Geschäftslogik wie etwa fehlende Authentifizierung oder ungeschützter Informationszugriff ermöglichen es zunehmend, nur mit einem Browser bewaffnet Webanwendungen anzugreifen. Und das ohne dass zu ausgefeilteren Angriffsarten wie XSS-Attacken bzw. SQL-Injection auf die Datenbank des Webservers etc. gegriffen werden muss.
s.a. OWASP – Testing for business logic flaws
Der Security-Spezialist Jeremiah Grossmann weist in einem Beitrag für die kommende „Black Hat Convention“ , einer IT-Security-Messe in Las Vegas, darauf hin, dass somit spezielle Hackertools für Angriffe auf Webanwendungen zunehmend durch den Browser als Allzweckwaffe ersetzt werden könnten. Zudem viele „Angriffe“ eigentlich nur aus einem neugierigen „Zupfen an der Tischdecke“ bestehen. Etwa indem man durch „Google Hacking“ nicht verlinkte aber doch vorhandene Webseiten, Administrationsoberflächen, private Webcams etc. aufstöbert.
Da mittlerweile viele Anbieter ihre Dienstleistungen ins Internet verlagern, sei es laut Grossman nun einfacher als früher, viele verwundbare Anwendungen zu finden. Dabei sei das Vorgehen nicht einmal unbedingt illegal. Der Angreifer würde in vielen Fällen nur gegen die Vertragsbedingungen des Anbieters verstoßen.
Sich vor solchen Angriffen zu schützen ist relativ schwer, da sie kein konkretes Angriffsmuster aufweisen. Normale Intrusion Prevention Systems (IPS) oder Web Application Firewalls (WAF) erkennen solche sich noch im normalen Nutzungsbereich befindlichen Interaktionen mit der Anwendung oft nicht.
s.a. Seven Business Logic Flaws That Put Your Website At Risk, Paper von Jeremiah Grossman
