Bundesamt für Sicherheit in der Informationstechnik

G 5.166 Missbrauch einer Webanwendung durch automatisierte Nutzung

Bei der automatisierten Bedienung von Webanwendungen werden Funktionen der Anwendung computergesteuert genutzt, z. B. durch Skripte, die Eingaben durch Tastatur und Maus emulieren. Dadurch können Vorgänge in kurzer Zeit durchgeführt werden und Angreifer können somit auf Wiederholung basierende Angriffe gegen die Webanwendung effizient durchführen. Mithilfe eines wiederholt durchgeführten Login-Prozesses können z. B. gültige Kombinationen aus Benutzernamen und Passwort systematisch ermittelt (Brute-Force) oder Listen mit gültigen Benutzernamen erzeugt werden (Enumeration).

Darüber hinaus kann das wiederholte Aufrufen von ressourcenintensiven Funktionen (z. B. komplexe Datenbankabfragen) für Denial-of-Service-Angriffe auf Anwendungsebene missbraucht werden. Während Denial-of-Service-Angriffe auf Netzwerkebene häufig viele Verbindungsversuche erfordern, können Angriffe auf Webanwendungsebene oft effizienter durchgeführt werden.

Beispiele:

  • Kann bei einer Online-Umfrage das Formular automatisiert ausgefüllt und abgeschickt werden, so kann ein Angreifer das Umfrageergebnis durch eine automatisierte Stimmabgabe per Skript leicht verfälschen.
  • Die Informationen über registrierte Benutzer (z. B. Profilnamen und E-Mail-Adressen) können über eine URL der Webanwendung (z. B. http://host.tld/app/userDetails.php?UserID=###) abgerufen werden. Wird diese Funktion automatisiert aufgerufen (z. B. durch einfache Inkrementierung der numerischen UserID), kann so mit wenig Aufwand eine große Anzahl von Benutzerinformationen gesammelt werden (Enumeration). Die gesammelten Informationen können beispielsweise für den Versand von SPAM verwendet werden.
  • Werden Benutzerkonten nach fünf fehlgeschlagenen Anmeldeversuchen für 10 Minuten gesperrt, um Brute-Force-Angriffe zu erschweren, und sind einem Angreifer die Benutzernamen der Webanwendung bekannt, so können automatisiert fehlgeschlagene Anmeldeversuche auf diese Benutzerkonten provoziert werden. In der Folge sind diese Benutzerkonten dauerhaft gesperrt und die Webanwendung kann von den Benutzern nicht mehr genutzt werden.

Stand: 13. EL Stand 2013