Menü
Ein Beitrag von Adacor

Hashing schützt vor Manipulation von URL-Parametern

Um sich gegen die Manipulation von URL-Parametern und die daraus möglicherweise resultierenden Hacking-Attacken zu wappnen, bietet der ADACOR Cloudbase Proxy das passende Sicherheitsmodul: das Parameter-Hashing bzw. die Validierung.
Parameter HashingDas Sicherheitsmodul „Parameter-Hashing“ wurde jüngst final abgeschlossen, dessen Funktionalitäten werden gerade unter Live-Bedingungen getestet.

Hashing: Schutz vor Manipulation von URL-Parametern

Mittels URL-Parametern werden Daten vom Webbrowser an den Server übertragen, sodass dieser daraufhin die korrekten Seiten an den Browser zurückgegeben kann. Ebenso können Benutzerdaten über solche Parameter übergeben werden. Folglich lautet die oberste Priorität für Webanwendungen: Parameter und deren Werte müssen vor ihrer weiteren Verwendung geprüft werden, um Veränderungen durch Dritte wirksam abzufangen. Vergisst man nämlich diesen Schutzmechanismus, stehen einem Angreifer im wahrsten Sinne des Wortes alle Manipulationstüren offen.

Nehmen wir als fiktives Beispiel den Online-Banking-Bereich eines Kreditinstituts. Dort sind im Adressfeld einer personalisierten Kundenseite bestimmte Parameter hinterlegt. Sollte die Kontonummer mit in der URL oder ID stehen, könnte man durch Ausprobieren versuchen, die Seite zu manipulieren. Man könnte die bestehende Kontonummer durch eine beliebige andere ersetzen, darauf hoffen, dass die Daten des anderen Kontoinhabers angezeigt werden, und vielleicht erfolgreich einen Angriff starten. Heutzutage sind die Online-Systeme entsprechend geschützt, sodass sich ein derart simpler Trick nicht mehr so leicht umsetzen lässt. So steht in keiner URL mehr die Kontonummer, sondern ein Hash-Wert verbirgt die eigentlichen Daten. Aber was passiert, wenn der Entwickler vergisst, die URL-Parameter mittels Hashing zu schützen oder eine Sicherheitslücke durch einen Programmierfehler entsteht?

Hash-Wert schützt reale Daten

Beim Parameter-Hashing legt ein Generator über eine kryptologische Hash-Funktion einen Hash-Wert fest. Diese Buchstaben-Zahlen-Folge adressiert eine bestimmte Parameterkombination in einer Datenbank, in der die eigentlichen Daten hinterlegt sind. Mithilfe der Hash-Funktion lässt sich aus einer bestimmten gleichen Zeichenfolge immer wieder der gleiche Hashwert errechnen. Umgekehrt kann daraus aber nicht wieder der Ursprungswert ermittelt werden. Man spricht hier von einer sogenannten Einwegfunktion. In der Folge kann der „echte“ URL-Parameter nicht mehr manipuliert werden, denn bei einer Veränderung des Hash-Werts würde kein passender Datenbankeintrag gefunden werden. Vielmehr landet man auf der Startseite oder auf einer speziellen Fehlerseite, da die URL so interpretiert wird, als wären gar keine Parameter übertragen worden.

Das Parameter-Hashing-Modul soll eine große Bandbreite an individuellen Webapplikationen unterstützen. Deshalb mussten unsere Entwickler viel Feintuning betreiben. „Wir wussten von Anfang an, dass wir fachlich bestens gerüstet sind, das Modul aber so seine Tücken hat. Der tatsächliche Umfang stellte sich erst im Verlauf der Modulentwicklung heraus. Die letzten Tests haben aber gezeigt, dass die Entwickler die Aufgabe mit Bravour gelöst haben“, erklärt Andreas Bachmann.

Image

Optimale Cloud-Lösungen nach Ihren Vorstellungen

Ob bewährte VMware-Lösungen, leicht zu bedienende Cloudlösung oder zuverlässige vServer...
Bei Filoo finden Sie die richtige Cloud für Ihre Bedürfnisse.

Jetzt direkt informieren

Testing unter Live-Bedingungen

Nach seiner Fertigstellung wird das Hashing-Modul jetzt im Live-Einsatz intensiv auf seine Funktionstüchtigkeit geprüft. Eine Maßnahme ist dabei die interne Auslieferung von realen Internetseiten über den Proxy. Dabei wurde das Parameter-Hashing für zwei Webseiten (ibash.de, golem.de) aktiviert. D. h., die Softwareentwickler surfen über den Proxy im Internet und testen das Tool dort unter realen Bedingungen, indem sie vorgeben, dass z. B. Golem ein Kunde des Cloudbase Proxy ist. Durch dieses Vorgehen kann das Modul ausgiebig getestet werden. Sollte die Auslieferung einer Seite fehlschlagen, bemerken die Entwickler das sofort und können die Ursache schnell ermitteln.

Grafikoptimierung: kurze Ladezeiten und hohe Internet-Performance

Parallel zum Testing des Parameter-Hashing steht die Vollendung des Moduls zur Grafikoptimierung an. Dabei erwarten die Entwickler ebenso wie beim Parameter-Hashing einige spezielle Herausforderungen. Diese liegen nicht wie man annehmen möchte bei der Programmierung selbst, sondern es gilt auch hier einige Sonderfälle zu beachten, damit das Modul für die meisten Webseiten funktioniert. Zudem sind diese Besonderheiten dem Anspruch der ADACOR geschuldet, bei der Grafikoptimierung ein Ergebnis zu liefern, was nah an dem ist, was ein Webdesigner bei der individuellen Gestaltung einer Internetseite erreichen kann. „Wir befinden uns mit den Cloud-Proxy-Modulen oft nicht auf den komfortablen Netzwerk- oder HTTP-Ebenen, wo alles strukturiert und genormt ist. Vielmehr schalten wir uns vor die sehr individuelle Ebene der Oberflächenimplementierung, wo die Module auf die verschiedenen Herangehensweisen der Applikationsentwickler reagieren müssen“, so Andreas Bachmann.

Modulübersicht Cloudbase

Sicherheit

  • IPS/IDS (Intrusion Prevention System / Intrusion Detection System)
  • Code Filtering
  • Parameter Hashing / Validation

Performance

  • Hochverfügbarkeit
  • Automatische CDN-Anbindung
  • Caching

Optimierung

  • Grafikoptimierung
  • Minify
  • Kompression

, , ,

Sie möchten keinen Beitrag verpassen?

Es gibt einen Newsletter. Hier können Sie ihn abonnieren.

Datenschutzhinweise


Weitere Artikel zum Thema lesen

3 Punkte für eine erfolgreiche Unternehmensgründung

Biz & Trends, Cloud, Hosting

3 Punkte für eine erfolgreiche Unternehmensgründung

Thomas Wittbecker zu den Erfolgsfaktoren für Internet-Startups in Deutschland.

weiter lesen

Büro IT Firma

Biz & Trends

Kinder im Büro – ein No-Go?

In vielen Unternehmen nicht gern gesehen: Kinder ins Büro mitbringen.

weiter lesen

Cloud Computing – Umsatz und Studie zu den Vorteilen für Unternehmen

Cloud

Cloud Computing – Umsatz und Studie zu den Vorteilen für Unternehmen

Immer mehr Unternehmen setzen auf Cloud basierte Lösungen. Der Markt für Cloud Computing wächst in Deutschland auf 7,8 Mrd. Euro.

weiter lesen


Neueste Nachrichten von Adacor

IT Security

Risikomanagement als Mehrwert für Unternehmen sehen

Wie Sie das Zusammenspiel von ISMS und IKS für sich nutzen können.

weiter lesen

Cloud

AWS, Azure und Co.: Brauchen Sie wirklich eine große Public-Cloud?

Das Angebot großer Public Clouds klingt für viele Unternehmen verlockend. Eine Private Cloud kann jedoch die ökonomisch sinnvollere Lösung sein.

weiter lesen

Biz & Trends

Was ist eigentlich Digitalisierung?

Der Begriff „ Digitalisierung“ weist viele Facetten auf. Die Aufteilung in Bereiche bringt jedoch Klarheit.

weiter lesen