Cookie Poisoning

Cookie Poisoning

Copyright ┬ę Shutterstock / Matt Benoitt

Was ist Cookie Poisoning?

Bei Cookie Poisoning handelt es sich im Web um die Modifizierung eines Cookies durch einen Angreifer, um nicht autorisierte Informationen ├╝ber den Benutzer zu erhalten. Der Angreifer kann die Informationen verwenden, um neue Konten zu er├Âffnen oder auf die vorhandenen Konten des Benutzers zuzugreifen.

Beschreibung

Auf der Festplatte Ihres Computers gespeicherte Cookies enthalten Informationen, die es den von Ihnen besuchten Websites erm├Âglichen, Ihre Identit├Ąt zu authentifizieren, Ihre Transaktionen zu beschleunigen, Ihr Verhalten zu ├╝berwachen und Ihre Pr├Ąsentationen f├╝r Sie zu personalisieren. Cookies k├Ânnen jedoch auch von Personen abgerufen werden, die dazu nicht berechtigt sind. Wenn keine Sicherheitsma├čnahmen vorhanden sind, kann ein Angreifer einen Cookie auf seinen Zweck pr├╝fen und ihn so bearbeiten, dass er Benutzerinformationen von der Website erh├Ąlt, auf der das Cookie gesendet wurde.

Um Cookie Poisoning zu verhindern, sollten Websites, die sie verwenden, Cookies durch Verschl├╝sselung sch├╝tzen, bevor sie an den Computer eines Benutzers gesendet werden. Es wird eine digitale Signatur erstellt, mit der der Inhalt in allen zuk├╝nftigen Kommunikationen zwischen Absender und Empf├Ąnger ├╝berpr├╝ft wird. Wenn der Inhalt manipuliert wird, stimmt die Signatur nicht mehr mit dem Inhalt ├╝berein und der Zugriff wird vom Server abgelehnt.

Bei einer Security Pr├╝fung werden Benutzereingaben in Abfragezeichenfolgeparametern und POST-Daten untersucht, um zu ermitteln, wo Cookie-Parameter gesteuert werden k├Ânnen. Dies wird als Cookie Poisoning bezeichnet und kann ausgenutzt werden, wenn ein Angreifer den Cookie auf verschiedenen Wegen manipulieren kann. In einigen F├Ąllen kann dies nicht ausgenutzt werden. Das Festlegen von Cookie-Werten durch URL-Parameter wird jedoch im Allgemeinen als Fehler betrachtet.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Vorbeugen von Cookie Poisoning

ASP.NET-Anwendungen sind anf├Ąllig f├╝r Cookie Poisoning und der Schutz gegen diesen Angriff ist ein mehrstufiger Prozess.

  • Speichern Sie keine vertraulichen Informationen in Cookies
  • Wenn sensible Informationen in Cookies gespeichert werden m├╝ssen, ist es f├╝r einen Benutzer ├Ąu├čerst schwierig, diese erfolgreich zu ├Ąndern
  • ├ťberpr├╝fen Sie alle Cookie-Werte, um sicherzustellen, dass sie gut gestaltet und korrekt sind

Die allgemeine Methode zum Schutz von Daten gegen Cookie-Vergiftung beinhaltet das Verschl├╝sseln der Anfragen oder Transaktionen. Verschiedene Dienste k├Ânnen Clients und Endbenutzern dabei helfen, gesendete Daten zu verschl├╝sseln, sodass sie f├╝r diejenigen, die mithilfe von Cookie Poisoning auf sie zugreifen k├Ânnen, nicht mehr transparent sind.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte