Angriffsvektor Cross-Site WebSocket Hijacking (CSWSH)
Kommentare

So nützlich wie WebSockets in der Echtzeit-Kommunikation sind, so unsicher können sie auch sein. Christian Schneider, seines Zeichens Java-Entwickler und seit langer Zeit auch Speaker für Sicherheitsthemen,

So nützlich wie WebSockets in der Echtzeit-Kommunikation sind, so unsicher können sie auch sein. Christian Schneider, seines Zeichens Java-Entwickler und seit langer Zeit auch Speaker für Sicherheitsthemen, zeigt in seinem jüngsten Blog-Post, wie man dank des bidirektionalen Verbindungskanals seitenübergreigfende Angriffe starten kann. Denn er hat herausgefunden, dass viele Entwickler von WebSocket-verwendender Apps nicht wissen, dass die WebSockets an sich nicht der Same-Origin-Policy unterliegen. Damit können Angreifer von einer gezinkten Website aus einen Handshake oder ein Upgrade starten und damit via ws:// oder wss:// die Zielanwendung ansteuern.

Eine detaillierte Erläuterung mit Codebeispielen hat Schneider auf seiner Website bereitgestellt. Er rät Entwicklern von Webdiensten dazu, CSWSH in das Protokoll künftiger Pentests mit aufzunehmen. Um die Hijacks zu vermeiden, sollte man sichergehen, dass Origin-Header stets überprüft werden. Er schreibt:

Make your clients aware of the requirement to always check Origin headers. Educate them to secure all WebSocket handshakes using random tokens (like protecting against CSRF attacks) or let them embed the authentication and/or authorization into the WebSocket protocol (avoid web session access).

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -