|
Ist mein Online-Shop wirklich sicher? Der Schnell-Check |
Sicherheit | 21349 mal gelesen
In diesem Beitrag wird ein dreistufiger Test erläutert, anhand dessen Sie Ihren eigenen Online-Shop auf die Existenz bekannter Sicherheitsschwachstellen prüfen können. Ist wenigstens ein Ergebnis der Prüfungen positiv, hat Ihr Online-Shop eine bekannte Schwachstelle, die unverzüglich behoben werden sollte.
Nutzen Sie diese einfach Möglichkeit, Ihre Sicherheit zu verbessern.
Die hier vorgestellten Methoden sind nicht destruktiv und eignen sich in dieser Form nicht für einen wirklichen Angriff. Sie verdeutlichen aber die Systematik der so genannten „Low-Hanging-Fruits“-Schwachstellen. Das Verständnis hierüber ermöglicht Ihnen den Blick von außen auf die Sicherheit Ihres Shops und liefert mögliche Optimierungspotentiale.
| Sicherheitslücke | Potentielle Gefahr |
|---|---|
| 1. Eingabefeld (z.B. Suchformular) | Cross-Site Scripting (XSS) Schwachstellen ermöglichen das Austauschen des Inhalts oder das Ausführen von schädlichem Programmcode, um den Benutzer zu täuschen und bspw. an dessen Zugangsdaten oder Kontoinformationen zu gelangen. |
| 2. Login-Formular | Mit „Brute Force“ Angriffen können Angreifer Benutzernamen und Passwörter herausfinden und damit im Namen eines Benutzers einkaufen. |
| 3. Befehlsausführung | Mit „SQL Injection“ Angriffen können Angreifer sich unerlaubten Zugang zu Ihrer Datenbank verschaffen. |
Prüfung 1: Eingabefeld / Cross-Site-Scripting (XSS)
Folgen Sie diesem Link XSS, klicken anschließend in das Eingabefeld und kopieren die Zeichenfolge in die Zwischenablage (STRG+A und STRG+C). Anschließend surfen Sie Ihren Online-Shop an und fügen die Zeichenfolge aus der Zwischenablage (STRG+V) in das Suchformular Ihres Shops ein.
Erscheint nach dem Absenden des Formulars ein Pop-Up Fenster mit dem Inhalt ‚XSS', sind sie soeben Opfer eines erfolgreichen (aber natürlich harmlosen) Cross-Site-Scripting Angriffs geworden.
Erscheint kein Pop-Up Fenster mit dem Inhalt ‚XSS', sondern die Webseite reagiert wie gewohnt auf diese Suchanfrage, ist zumindest Ihr Suchformular gegen gängige Cross-Site-Scripting Angriffe geschützt.
Prüfung 2: Login-Formular
Ist die Anzahl falscher Eingaben beim Login begrenzt?
Um Brute-Force Attacken auf das Login-Formular zu vermeiden, sollten Benutzer nach dem fünften nicht erfolgreichen Login automatisch für bspw. 20 Minuten ausgesperrt werden.
Ist das nicht der Fall sollten zumindest folgende bekannte Standardpasswörter bei der Registrierung unterdrückt werden (Passwort; 12345678; ‚Benutzername' ; ‚Shopname')
Prüfung 3: Befehlsausführung
Dieser Test wird ebenfalls auf das Login-Formular angewandt. Es handelt sich um eine so genannte SQL-Injection. Führen Sie einen Login-Versuch mit der Zeichenfolge "admin' -- " (ohne Anführungszeichen) als Benutzernamen und einem beliebigen Passwort durch.
Reagiert das System ungewöhnlich, beispielsweise durch die Ausgabe einer Systemfehlermeldung (SQL Error) bietet die Datenbankschnittstelle einen potentiellen Angriffspunkt, indem sie unnötig Informationen preisgibt.
Loggt das System sogar erfolgreich ein ist es Ihnen gelungen sich ohne die Eingabe eines Passwortes als Administrator für das System zu authentifizieren. In diesem Fall sollten Sie unbedingt die Validierung Ihres Login-Formulars überprüfen.
Erscheint jedoch die gewohnte Fehlermeldung, dass Benutzername und/oder Passwort nicht korrekt eingegeben wurden, ist zumindest Ihr Login-Formular gegen diesen speziellen Angriff geschützt.
Um das vom Benutzer entgegengebrachte Vertrauen bestätigen zu können und sich sowie seine Benutzer nicht zu gefährden, sollte ein Online-Shop frei von bekannten Schwachstellen sein. Wie unser kurzer Selbsttest zeigt, bedarf das Ausnutzen dieser Schwachstellen heute keines großen Vorwissens oder gar besonderer Tools.
Übrigens: Im Trusted Shops Security-Audit wird in enger Zusammenarbeit mit dem Shopbetreiber eine sicherheitstechnische Untersuchung vorgenommen. Mittels aktueller Prüfungssoftware testen Sicherheitsexperten die Site auf bekannte grundlegende Sicherheitsrisiken. Die Durchführung des Audits gliedert sich in fünf Phasen und wird in enger Zusammenarbeit mit dem Shopbetreiber durchgeführt. Ein detaillierter Audit-Report gibt Auskunft über Verwundbarkeiten und beschreibt erforderliche Gegenmaßnahmen.
Am 23. Mai 2007 um 13:14 Uhr
Hi!
Das ist eine wirklich prima Sache. Nicht mal unbedingt, weil viele Schwachstellen gefunden werden - ich hoffe, es gibt nicht so viele - sondern vor allem auch, weil nichts die Sensibilität besser schärft, als selbst ausprobieren und damit die Mechanismen selbst zu _erfahren_.
Herzlich aus Hürth
Nicola Straub
Am 23. Mai 2007 um 20:09 Uhr
Ich halte das für eherr problematisch, die armen Leute die sich jetzt mit Ihren Wald-/Wiesenshops nicht mehr vor Angriffen retten können die irgendwelche “gutmeinenden” Konkurrenten mit Hilfe dieses Artikels ausführen.
Die “Angriffe” sind zwar harmlos, stören nichtsdestotrotz den gewohnten Geschäftsbetrieb.
Ist ein Angriff erfolgreich kann man, beispielsweise bei der XSS Lücke, mit ein wenig Kreativität schnell mal echten Schaden hervorrufen.
Nett gemacht, aber tatsächlich für ein vernünftiges Shopsystem kein Thema, da werden, wenn, dann andere Mittel eingesetzt.
Die beschriebenen Lücken sind nicht die neuesten und es gibt interessantere und vor allem verfügbarere Schwachstellen. Womit der Wert des Artikels irgendwie gegen 0 tendiert. Schade.
Am 24. Mai 2007 um 11:02 Uhr
Hallo Herr Petersheim,
natürlich gibt es neuere und interessantere Schwachstellen, aber schließlich soll der Selbst-Check keine Hacking-Anleitung darstellen. Vielmehr geht es darum, Shopbetreiber für das Thema Web-Applikationssicherheit zu sensibilisieren, um somit frühzeitig gegen mögliche Angriffe gerüstet zu sein. (siehe Kommentar von Frau Straub) Genau dafür halten wir diesen kurzen Check bestens geeignet.
Denn ausführliche Informationen wie man einen Online-Shop hackt, sind leichter verfügbar als viele Shopbetreiber denken.
Am 25. Mai 2007 um 09:22 Uhr
[...] eins 3-stufigen Tests von “Trusted Shop” - Experten des shopbetreiber-blogs können Sie Ihren eigenen [...]
Am 25. Mai 2007 um 12:41 Uhr
[...] der Seite Shopbetreiber-Blog.de ste ht ein interessanter Artikel über mögliche Sicherheitslücken in Shopsystemen. Die Prüfung 1 [...]
Am 30. Mai 2007 um 18:48 Uhr
[...] Diese Auflistung soll verdeutlichen, dass gerade für Online-Shops ein hohes Maß an technischer Sicherheit erforderlich ist, da deren charakteristischen Funktionalitäten großes Angriffspotential bieten. Aus diesem Grund erscheint hier in Kürze ein Selbst-Check für Ihren Online-Shop. [...]
Am 30. Mai 2007 um 18:49 Uhr
[...] Selbst-Test für Shopbetreiber sowie ein Beitrag über potentielle Schwachstellen von Online-Shops folgen in [...]
Am 26. Juni 2007 um 16:39 Uhr
Ein Test auf die Sicherheit von Wordpress-Blogs gibt es hier
Am 28. Juli 2007 um 13:01 Uhr
Boah, ist das ein heikles Thema… Soweit ich weiß hat das alles damit angefangen dass man mit Hilfe von XSS versucht hat die Links von .gov und .edu -Sites zu kriegen, und zwar sehr erfolgreich :)
Gibt es noch Weiterführendes zu diesem Thema? Auf jeden Fall danke, war sehr interessant zu lesen!
Am 5. Oktober 2007 um 09:25 Uhr
Mal eine Info zum Thema Sicherheit in Online-Shops:
Ich hatte im August 2007 über Kartenhaus.de Eintrittskarten per Kreditkarte gekauft OHNE mich anzumelden. Trotzdem wurden die Kreditkartendaten anschließend NICHT gelöscht !
Gestern wurde die Webseite gehackt und meine Kreditkartendaten auch. Zum Glück konnte ich gleich reagieren und die Karte sperren lassen. Trotzdem sollte ein Server so gesichert sein, daß Datendiebstahl unmöglich sein sollte. Neben meiner sind noch 66.000 andere Datensätze gehackt worden !!! Ich habe bei meiner Bank angerufen und die meinten nur: Kartenhaus? alles klar! Meine Bank ist seit gestern Abend nur damit beschäftigt, Kreditkarten zu sperren. Was für einen Schaden Kartenhaus ausgelöst hat!
Es ist traurig, das Kartenhaus die Daten nicht nach erfolgter Buchung löscht und man noch nach Jahren eventuell einen Schaden davonträgt.
Die Mail von Kartenhaus.de:
Sehr geehrter Kartenhaus-Kundin, sehr geehrter Kartenhaus-Kunde,
wir möchten Sie darüber informieren, dass wir vor kurzem entdeckt haben, dass Kartenhaus Opfer eines rechtswidrigen Angriffs auf seine Internetseite http://www.kartenhaus.de wurde. Durch diesen Angriff hat ein unbekannter Täter einige Ihrer persönlichen Informationen gestohlen. Wir haben leider Grund zu der Annahme, dass Ihre Kreditkarteninformationen, einschließlich der Rechnungsanschrift für Ihre Karte mit der Endnummer XXXX gestohlen wurden.
Wir empfehlen Ihnen, Ihre Kreditkartenabrechnung so bald wie möglich zu prüfen, um mögliche betrügerische Geschäftsvorgänge zu identifizieren. Auch in der nahen Zukunft sollten Sie Ihre Abrechnungen weiterhin auf betrügerische Geschäftsvorgänge hin überprüfen. Bitte erwägen Sie auch, mit Ihrem Kreditkartenunternehmen Kontakt aufzunehmen und andere geeignete Maßnahmen zu treffen, die Ihr Kreditkartenunternehmen Ihnen gegebenenfalls empfiehlt.
Wir haben bereits und werden auch weiterhin alle uns zur Verfügung stehenden Maßnahmen ergreifen, um Ihre persönlichen Informationen zu schützen und einen weiteren unbefugten Zugriff zu verhindern. Sofort nach Kenntniserlangung von dem Diebstahl haben wir ein Team von Experten aus den Bereichen Technologie, Kreditkarten und Sicherheit eingesetzt, das mit der Lösung des Problems betraut ist. Wir arbeiten außerdem mit den zuständigen Strafverfolgungsbehörden zusammen, um die für diese Straftat verantwortlichen Individuen zu ermitteln und dazu beizutragen, sie vor Gericht zu bringen.
Wir bedauern die Unannehmlichkeiten, die diese Sicherheitsverletzung bereitet, zutiefst und haben Verständnis dafür, wenn unglückselige, kriminelle Aktivitäten wie diese Sie sogar dazu veranlassen sollten, es sich zweimal zu überlegen, bevor Sie Ihre nächsten Karten über Kartenhaus beziehen. Wir versprechen Ihnen, dass wir auch weiterhin hart daran arbeiten werden, uns als vertrauenswürdiger Kartenanbieter zu erweisen, für den Sicherheit an erster Stelle steht.
Wir schätzen Ihr Unternehmen sehr. Sollten Sie weitere Fragen haben, schreiben Sie uns bitte eine Email an kreditkartenhilfe@kartenhaus.de.
Am 5. Juli 2008 um 15:46 Uhr
Und wie sieht es mit Phising-Seiten aus?
Am 18. Juli 2008 um 13:54 Uhr
[...] des Beitrages dieser Seite http://www.shopbetreiber-blog.de…kostenloser-schnell-check/ wurde ein Sicherheitspatch heraus gegeben. PDF-Anleitung zum [...]
Am 19. Juli 2008 um 21:55 Uhr
Die Datensicherheit ist sicher ein Thema, aber man sollte nicht zu sehr dramatisieren. Wenn man schaut wieviele Onlineshops es gibt, ist die Anzahl der geschädigten extrem Niedrig. Da ist die Chance schon fast höher, in einer Bank bei einem Überfall anwesend zu sein.
Nichts für ungut, aber wo Geld im Spiel ist, tretten Manipulationen!
Am 22. Dezember 2008 um 18:00 Uhr
Vielen Dank für die aufgeführten Schwachstellen, die Online-Shops haben können. Obwohl bei der Erstellung von Online-Shops den Internetagenturen diese Schwachstellen bekannt sind und diese beseitigt werden passiert es trotzdem immernoch, dass es Hacker schaffen Zugriff zur Datenbank zu erlangen. Auf der Interseite zone-h.org werden regelmäßig die Populärsten dieser Übergriffe (auch Defacement) dargestellt.
Am 14. Januar 2009 um 22:18 Uhr
Schöne Sache..sollte man mal machen…
Am 9. April 2009 um 23:17 Uhr
Interessanter Beitrag, habe umgehend unseren Shop-Dienstleiter drauf angesprochen, Entwarnung. Warten wir auf die nächsten Lücken ;-( Danke.
Am 4. Juni 2009 um 00:26 Uhr
Vielen Dank für die Hinweise
Am 8. Juli 2009 um 23:02 Uhr
also ich habe mich im nachhinein nochmal schlau gemacht. es ist doch nicht alles so einfach umzusetzen wie hier beschrieben auf eurer seite. aber es hilft auf jeden fall ein kleines bisschen weiter. also zwei daumen hoch. lg
Am 21. September 2009 um 15:25 Uhr
Also was wir leider ebenfalls feststellen mussten, ist das umso mehr man iM ranking bei Google nach oben steigt um so mehr Angriffe hat man auf dem Shop.
Wir sind täglich damit beschäftigt Updates in der Firewall durchzuführen und versuchen auch was Exploits angeht immer auf dem Laufenden zu sein, um Lücken schnell zu erkennen und schnell beheben zu können. Aber ich denke ebenfalls, dass es immer Leute geben wird, welche schneller sind und daher wäre echt einmal interessant zu wissen, was durch den Schaden bei kartenkaufhaus.de (siehe Kommentar von Martin) wirklich an Schaden entstanden ist, denn wenn wir doch ehrlich sind, kann zwar jeder Versuchen durch Firewall, System-Updates, … auf dem neusten Stand zu bleiben, doch eine 100% Sicherheit kann es nicht geben! Denn um eine Sicherheitslücke zu schließen muss diese erst einmal jemand finden!
Ich kann es auch nicht verstehen wie viele Administratoren von XTC-Shops einfach Module in den Shop einbauen können ohne wirklich zu wissen wie das Modul funktioniert oder was es bewirkt! (sollte man vielleicht auch einmal drüber nachdenken :-))
Am 3. November 2009 um 21:49 Uhr
Ja daher kann ich nur sagen nein Danke xtc / os Shop Gefrickel, bei Unternehmenskritischen Anwendungen setze ich lieber auf bewährtes mit ordentlichen Support.
Am 11. April 2010 um 02:16 Uhr
Also höre mir wirklich mal xtc auf. ich bereuhe es total, dass ich mich für diesen shop entschieden habe. ich sag mal so, er ist zwar kostenlos, aber die zeit zum optimieren dauert wirklich sehr lang und wenn man gar keine ahnung hat, dann dauert es noch viel länger
Am 26. April 2010 um 17:28 Uhr
Meistens ist es doch so, dass über die Module der Angriff kommt
Am 20. Mai 2010 um 17:53 Uhr
Sicherlich kommt ein Angriff über die Module, deswegen sollte ein solcher Shop auch extrem gesichert werden. Ist es doch eine Art “Laden” des 21. Jahrhunderts. Überfälle auf richtige Läden gibt es auch :-)