Hashing schützt vor Manipulation von URL-Parametern

Um sich gegen die Manipulation von URL-Parametern und die daraus möglicherweise resultierenden Hacking-Attacken zu wappnen, bietet der ADACOR Cloudbase Proxy das passende Sicherheitsmodul: das Parameter-Hashing bzw. die Validierung.
Parameter HashingDas Sicherheitsmodul „Parameter-Hashing“ wurde jüngst final abgeschlossen, dessen Funktionalitäten werden gerade unter Live-Bedingungen getestet.

Hashing: Schutz vor Manipulation von URL-Parametern

Mittels URL-Parametern werden Daten vom Webbrowser an den Server übertragen, sodass dieser daraufhin die korrekten Seiten an den Browser zurückgegeben kann. Ebenso können Benutzerdaten über solche Parameter übergeben werden. Folglich lautet die oberste Priorität für Webanwendungen: Parameter und deren Werte müssen vor ihrer weiteren Verwendung geprüft werden, um Veränderungen durch Dritte wirksam abzufangen. Vergisst man nämlich diesen Schutzmechanismus, stehen einem Angreifer im wahrsten Sinne des Wortes alle Manipulationstüren offen.

Nehmen wir als fiktives Beispiel den Online-Banking-Bereich eines Kreditinstituts. Dort sind im Adressfeld einer personalisierten Kundenseite bestimmte Parameter hinterlegt. Sollte die Kontonummer mit in der URL oder ID stehen, könnte man durch Ausprobieren versuchen, die Seite zu manipulieren. Man könnte die bestehende Kontonummer durch eine beliebige andere ersetzen, darauf hoffen, dass die Daten des anderen Kontoinhabers angezeigt werden, und vielleicht erfolgreich einen Angriff starten. Heutzutage sind die Online-Systeme entsprechend geschützt, sodass sich ein derart simpler Trick nicht mehr so leicht umsetzen lässt. So steht in keiner URL mehr die Kontonummer, sondern ein Hash-Wert verbirgt die eigentlichen Daten. Aber was passiert, wenn der Entwickler vergisst, die URL-Parameter mittels Hashing zu schützen oder eine Sicherheitslücke durch einen Programmierfehler entsteht?

Hash-Wert schützt reale Daten

Beim Parameter-Hashing legt ein Generator über eine kryptologische Hash-Funktion einen Hash-Wert fest. Diese Buchstaben-Zahlen-Folge adressiert eine bestimmte Parameterkombination in einer Datenbank, in der die eigentlichen Daten hinterlegt sind. Mithilfe der Hash-Funktion lässt sich aus einer bestimmten gleichen Zeichenfolge immer wieder der gleiche Hashwert errechnen. Umgekehrt kann daraus aber nicht wieder der Ursprungswert ermittelt werden. Man spricht hier von einer sogenannten Einwegfunktion. In der Folge kann der „echte“ URL-Parameter nicht mehr manipuliert werden, denn bei einer Veränderung des Hash-Werts würde kein passender Datenbankeintrag gefunden werden. Vielmehr landet man auf der Startseite oder auf einer speziellen Fehlerseite, da die URL so interpretiert wird, als wären gar keine Parameter übertragen worden.

Das Parameter-Hashing-Modul soll eine große Bandbreite an individuellen Webapplikationen unterstützen. Deshalb mussten unsere Entwickler viel Feintuning betreiben. „Wir wussten von Anfang an, dass wir fachlich bestens gerüstet sind, das Modul aber so seine Tücken hat. Der tatsächliche Umfang stellte sich erst im Verlauf der Modulentwicklung heraus. Die letzten Tests haben aber gezeigt, dass die Entwickler die Aufgabe mit Bravour gelöst haben“, erklärt Andreas Bachmann.

Image

filoo ClouDEasy

Sie wollen eine sichere ClouD? Dann haben Sie diese mit ClouDEasy soeben gefunden. Hier bekommen Sie eine skalierbare Lösung, mit der Sie sofort loslegen können. Es gibt keine lange Einarbeitungszeit – diese ClouD funktioniert einfach. Jetzt direkt informieren  

Testing unter Live-Bedingungen

Nach seiner Fertigstellung wird das Hashing-Modul jetzt im Live-Einsatz intensiv auf seine Funktionstüchtigkeit geprüft. Eine Maßnahme ist dabei die interne Auslieferung von realen Internetseiten über den Proxy. Dabei wurde das Parameter-Hashing für zwei Webseiten (ibash.de, golem.de) aktiviert. D. h., die Softwareentwickler surfen über den Proxy im Internet und testen das Tool dort unter realen Bedingungen, indem sie vorgeben, dass z. B. Golem ein Kunde des Cloudbase Proxy ist. Durch dieses Vorgehen kann das Modul ausgiebig getestet werden. Sollte die Auslieferung einer Seite fehlschlagen, bemerken die Entwickler das sofort und können die Ursache schnell ermitteln.

Grafikoptimierung: kurze Ladezeiten und hohe Internet-Performance

Parallel zum Testing des Parameter-Hashing steht die Vollendung des Moduls zur Grafikoptimierung an. Dabei erwarten die Entwickler ebenso wie beim Parameter-Hashing einige spezielle Herausforderungen. Diese liegen nicht wie man annehmen möchte bei der Programmierung selbst, sondern es gilt auch hier einige Sonderfälle zu beachten, damit das Modul für die meisten Webseiten funktioniert. Zudem sind diese Besonderheiten dem Anspruch der ADACOR geschuldet, bei der Grafikoptimierung ein Ergebnis zu liefern, was nah an dem ist, was ein Webdesigner bei der individuellen Gestaltung einer Internetseite erreichen kann. „Wir befinden uns mit den Cloud-Proxy-Modulen oft nicht auf den komfortablen Netzwerk- oder HTTP-Ebenen, wo alles strukturiert und genormt ist. Vielmehr schalten wir uns vor die sehr individuelle Ebene der Oberflächenimplementierung, wo die Module auf die verschiedenen Herangehensweisen der Applikationsentwickler reagieren müssen“, so Andreas Bachmann.

Modulübersicht Cloudbase

Sicherheit

  • IPS/IDS (Intrusion Prevention System / Intrusion Detection System)
  • Code Filtering
  • Parameter Hashing / Validation

Performance

  • Hochverfügbarkeit
  • Automatische CDN-Anbindung
  • Caching

Optimierung

  • Grafikoptimierung
  • Minify
  • Kompression

, , ,


Weitere Artikel zum Thema lesen

Der Docmanager – Einblicke ins Intranet

Biz & Trends, Cloud, Hosting

Taskmanagement-System nach dem Kanban Prinzip

Das Kanban Prinzip bietet sich zur Umsetzung eines unternehmensweiten Taskmanagement-Systems an. Gerade in einem stetig wachsenden IT-Unternehmen steht man vor der steten Herausforderung, die von...

weiter lesen

Datensicherheit stärken durch Cloud Hosting in Deutschland

Biz & Trends, Cloud, Hosting

Datensicherheit stärken durch Cloud Hosting in Deutschland

PRISM und die NSA sind angesichts des jüngsten amerikanischen Spionageskandals in aller Munde und viele Unternehmen fragen sich, wie sicher ihre Daten in der...

weiter lesen

Kurzvorstellung Alexander Lapp – Chief Customer Officer (CCO)

Biz & Trends

Kurzvorstellung Alexander Lapp – Chief Customer Officer (CCO)

Teil 2 unserer Reihe, in der wir unsere vier Geschäftsführer kurz vorstellen.

weiter lesen


Neueste Nachrichten von ADACOR

IT Security

Hintergründe und aktuelle Informationen zur WannaCry-Attacke

Zum Heulen - wie die bislang größte Malware-Attacke ihren Ausgang nahm und welche Gegenmaßnahmen möglich sind.

weiter lesen

Hosting

Pflege und Aufbau eines Datennetzwerks im Rechenzentrum

Konzeptionelle Vorarbeit inklusive der Planung von Redundanzen beim Aufbau eines Datennetzwerks spart im Betrieb Zeit und Kosten.

weiter lesen

Vulnerability Management

Hosting

Mit Vulnerability Management Sicherheitslücken schließen

Durch regelmäßiges Scannen werden Schwachstellen in Systemen und Applikationen erkannt und beseitigt.

weiter lesen

Diese Seite verwendet Cookies, welche uns helfen, unsere Services anzubieten und zu verbessern.
Erfahren Sie mehr über unsere Cookie-Richtlinien. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.