In diesem Beitrag wird ein dreistufiger Test erläutert, anhand dessen Sie Ihren eigenen Online-Shop auf die Existenz bekannter Sicherheitsschwachstellen prüfen können. Ist wenigstens ein Ergebnis der Prüfungen positiv, hat Ihr Online-Shop eine bekannte Schwachstelle, die unverzüglich behoben werden sollte.
Nutzen Sie diese einfach Möglichkeit, Ihre Sicherheit zu verbessern.
Die hier vorgestellten Methoden sind nicht destruktiv und eignen sich in dieser Form nicht für einen wirklichen Angriff. Sie verdeutlichen aber die Systematik der so genannten „Low-Hanging-Fruits“-Schwachstellen. Das Verständnis hierüber ermöglicht Ihnen den Blick von außen auf die Sicherheit Ihres Shops und liefert mögliche Optimierungspotentiale.
Sicherheitslücke | Potentielle Gefahr |
---|---|
1. Eingabefeld (z.B. Suchformular) | Cross-Site Scripting (XSS) Schwachstellen ermöglichen das Austauschen des Inhalts oder das Ausführen von schädlichem Programmcode, um den Benutzer zu täuschen und bspw. an dessen Zugangsdaten oder Kontoinformationen zu gelangen. |
2. Login-Formular | Mit „Brute Force“ Angriffen können Angreifer Benutzernamen und Passwörter herausfinden und damit im Namen eines Benutzers einkaufen. |
3. Befehlsausführung | Mit „SQL Injection“ Angriffen können Angreifer sich unerlaubten Zugang zu Ihrer Datenbank verschaffen. |
Prüfung 1: Eingabefeld / Cross-Site-Scripting (XSS)
Folgen Sie diesem Link XSS, klicken anschließend in das Eingabefeld und kopieren die Zeichenfolge in die Zwischenablage (STRG+A und STRG+C). Anschließend surfen Sie Ihren Online-Shop an und fügen die Zeichenfolge aus der Zwischenablage (STRG+V) in das Suchformular Ihres Shops ein.
Erscheint nach dem Absenden des Formulars ein Pop-Up Fenster mit dem Inhalt ‚XSS’, sind sie soeben Opfer eines erfolgreichen (aber natürlich harmlosen) Cross-Site-Scripting Angriffs geworden.
Erscheint kein Pop-Up Fenster mit dem Inhalt ‚XSS’, sondern die Webseite reagiert wie gewohnt auf diese Suchanfrage, ist zumindest Ihr Suchformular gegen gängige Cross-Site-Scripting Angriffe geschützt.
Prüfung 2: Login-Formular
Ist die Anzahl falscher Eingaben beim Login begrenzt?
Um Brute-Force Attacken auf das Login-Formular zu vermeiden, sollten Benutzer nach dem fünften nicht erfolgreichen Login automatisch für bspw. 20 Minuten ausgesperrt werden.
Ist das nicht der Fall sollten zumindest folgende bekannte Standardpasswörter bei der Registrierung unterdrückt werden (Passwort; 12345678; ‚Benutzername’ ; ‚Shopname’)
Prüfung 3: Befehlsausführung
Dieser Test wird ebenfalls auf das Login-Formular angewandt. Es handelt sich um eine so genannte SQL-Injection. Führen Sie einen Login-Versuch mit der Zeichenfolge “admin' --
” (ohne Anführungszeichen) als Benutzernamen und einem beliebigen Passwort durch.
Reagiert das System ungewöhnlich, beispielsweise durch die Ausgabe einer Systemfehlermeldung (SQL Error) bietet die Datenbankschnittstelle einen potentiellen Angriffspunkt, indem sie unnötig Informationen preisgibt.
Loggt das System sogar erfolgreich ein ist es Ihnen gelungen sich ohne die Eingabe eines Passwortes als Administrator für das System zu authentifizieren. In diesem Fall sollten Sie unbedingt die Validierung Ihres Login-Formulars überprüfen.
Erscheint jedoch die gewohnte Fehlermeldung, dass Benutzername und/oder Passwort nicht korrekt eingegeben wurden, ist zumindest Ihr Login-Formular gegen diesen speziellen Angriff geschützt.
Um das vom Benutzer entgegengebrachte Vertrauen bestätigen zu können und sich sowie seine Benutzer nicht zu gefährden, sollte ein Online-Shop frei von bekannten Schwachstellen sein. Wie unser kurzer Selbsttest zeigt, bedarf das Ausnutzen dieser Schwachstellen heute keines großen Vorwissens oder gar besonderer Tools.
Übrigens: Im Trusted Shops Security-Audit wird in enger Zusammenarbeit mit dem Shopbetreiber eine sicherheitstechnische Untersuchung vorgenommen. Mittels aktueller Prüfungssoftware testen Sicherheitsexperten die Site auf bekannte grundlegende Sicherheitsrisiken. Die Durchführung des Audits gliedert sich in fünf Phasen und wird in enger Zusammenarbeit mit dem Shopbetreiber durchgeführt. Ein detaillierter Audit-Report gibt Auskunft über Verwundbarkeiten und beschreibt erforderliche Gegenmaßnahmen.
Hi!
Das ist eine wirklich prima Sache. Nicht mal unbedingt, weil viele Schwachstellen gefunden werden – ich hoffe, es gibt nicht so viele – sondern vor allem auch, weil nichts die Sensibilität besser schärft, als selbst ausprobieren und damit die Mechanismen selbst zu _erfahren_.
Herzlich aus Hürth
Nicola Straub
Ich halte das für eherr problematisch, die armen Leute die sich jetzt mit Ihren Wald-/Wiesenshops nicht mehr vor Angriffen retten können die irgendwelche “gutmeinenden” Konkurrenten mit Hilfe dieses Artikels ausführen.
Die “Angriffe” sind zwar harmlos, stören nichtsdestotrotz den gewohnten Geschäftsbetrieb.
Ist ein Angriff erfolgreich kann man, beispielsweise bei der XSS Lücke, mit ein wenig Kreativität schnell mal echten Schaden hervorrufen.
Nett gemacht, aber tatsächlich für ein vernünftiges Shopsystem kein Thema, da werden, wenn, dann andere Mittel eingesetzt.
Die beschriebenen Lücken sind nicht die neuesten und es gibt interessantere und vor allem verfügbarere Schwachstellen. Womit der Wert des Artikels irgendwie gegen 0 tendiert. Schade.
Hallo Herr Petersheim,
natürlich gibt es neuere und interessantere Schwachstellen, aber schließlich soll der Selbst-Check keine Hacking-Anleitung darstellen. Vielmehr geht es darum, Shopbetreiber für das Thema Web-Applikationssicherheit zu sensibilisieren, um somit frühzeitig gegen mögliche Angriffe gerüstet zu sein. (siehe Kommentar von Frau Straub) Genau dafür halten wir diesen kurzen Check bestens geeignet.
Denn ausführliche Informationen wie man einen Online-Shop hackt, sind leichter verfügbar als viele Shopbetreiber denken.
Ein Test auf die Sicherheit von WordPress-Blogs gibt es hier
Boah, ist das ein heikles Thema… Soweit ich weiß hat das alles damit angefangen dass man mit Hilfe von XSS versucht hat die Links von .gov und .edu -Sites zu kriegen, und zwar sehr erfolgreich 🙂
Gibt es noch Weiterführendes zu diesem Thema? Auf jeden Fall danke, war sehr interessant zu lesen!
Mal eine Info zum Thema Sicherheit in Online-Shops:
Ich hatte im August 2007 über Kartenhaus.de Eintrittskarten per Kreditkarte gekauft OHNE mich anzumelden. Trotzdem wurden die Kreditkartendaten anschließend NICHT gelöscht !
Gestern wurde die Webseite gehackt und meine Kreditkartendaten auch. Zum Glück konnte ich gleich reagieren und die Karte sperren lassen. Trotzdem sollte ein Server so gesichert sein, daß Datendiebstahl unmöglich sein sollte. Neben meiner sind noch 66.000 andere Datensätze gehackt worden !!! Ich habe bei meiner Bank angerufen und die meinten nur: Kartenhaus? alles klar! Meine Bank ist seit gestern Abend nur damit beschäftigt, Kreditkarten zu sperren. Was für einen Schaden Kartenhaus ausgelöst hat!
Es ist traurig, das Kartenhaus die Daten nicht nach erfolgter Buchung löscht und man noch nach Jahren eventuell einen Schaden davonträgt.
Die Mail von Kartenhaus.de:
Sehr geehrter Kartenhaus-Kundin, sehr geehrter Kartenhaus-Kunde,
wir möchten Sie darüber informieren, dass wir vor kurzem entdeckt haben, dass Kartenhaus Opfer eines rechtswidrigen Angriffs auf seine Internetseite http://www.kartenhaus.de wurde. Durch diesen Angriff hat ein unbekannter Täter einige Ihrer persönlichen Informationen gestohlen. Wir haben leider Grund zu der Annahme, dass Ihre Kreditkarteninformationen, einschließlich der Rechnungsanschrift für Ihre Karte mit der Endnummer XXXX gestohlen wurden.
Wir empfehlen Ihnen, Ihre Kreditkartenabrechnung so bald wie möglich zu prüfen, um mögliche betrügerische Geschäftsvorgänge zu identifizieren. Auch in der nahen Zukunft sollten Sie Ihre Abrechnungen weiterhin auf betrügerische Geschäftsvorgänge hin überprüfen. Bitte erwägen Sie auch, mit Ihrem Kreditkartenunternehmen Kontakt aufzunehmen und andere geeignete Maßnahmen zu treffen, die Ihr Kreditkartenunternehmen Ihnen gegebenenfalls empfiehlt.
Wir haben bereits und werden auch weiterhin alle uns zur Verfügung stehenden Maßnahmen ergreifen, um Ihre persönlichen Informationen zu schützen und einen weiteren unbefugten Zugriff zu verhindern. Sofort nach Kenntniserlangung von dem Diebstahl haben wir ein Team von Experten aus den Bereichen Technologie, Kreditkarten und Sicherheit eingesetzt, das mit der Lösung des Problems betraut ist. Wir arbeiten außerdem mit den zuständigen Strafverfolgungsbehörden zusammen, um die für diese Straftat verantwortlichen Individuen zu ermitteln und dazu beizutragen, sie vor Gericht zu bringen.
Wir bedauern die Unannehmlichkeiten, die diese Sicherheitsverletzung bereitet, zutiefst und haben Verständnis dafür, wenn unglückselige, kriminelle Aktivitäten wie diese Sie sogar dazu veranlassen sollten, es sich zweimal zu überlegen, bevor Sie Ihre nächsten Karten über Kartenhaus beziehen. Wir versprechen Ihnen, dass wir auch weiterhin hart daran arbeiten werden, uns als vertrauenswürdiger Kartenanbieter zu erweisen, für den Sicherheit an erster Stelle steht.
Wir schätzen Ihr Unternehmen sehr. Sollten Sie weitere Fragen haben, schreiben Sie uns bitte eine Email an kreditkartenhilfe@kartenhaus.de.
Und wie sieht es mit Phising-Seiten aus?
Die Datensicherheit ist sicher ein Thema, aber man sollte nicht zu sehr dramatisieren. Wenn man schaut wieviele Onlineshops es gibt, ist die Anzahl der geschädigten extrem Niedrig. Da ist die Chance schon fast höher, in einer Bank bei einem Überfall anwesend zu sein.
Nichts für ungut, aber wo Geld im Spiel ist, tretten Manipulationen!
Vielen Dank für die aufgeführten Schwachstellen, die Online-Shops haben können. Obwohl bei der Erstellung von Online-Shops den Internetagenturen diese Schwachstellen bekannt sind und diese beseitigt werden passiert es trotzdem immernoch, dass es Hacker schaffen Zugriff zur Datenbank zu erlangen. Auf der Interseite zone-h.org werden regelmäßig die Populärsten dieser Übergriffe (auch Defacement) dargestellt.
Schöne Sache..sollte man mal machen…
Interessanter Beitrag, habe umgehend unseren Shop-Dienstleiter drauf angesprochen, Entwarnung. Warten wir auf die nächsten Lücken ;-( Danke.
Vielen Dank für die Hinweise
also ich habe mich im nachhinein nochmal schlau gemacht. es ist doch nicht alles so einfach umzusetzen wie hier beschrieben auf eurer seite. aber es hilft auf jeden fall ein kleines bisschen weiter. also zwei daumen hoch. lg
Also was wir leider ebenfalls feststellen mussten, ist das umso mehr man iM ranking bei Google nach oben steigt um so mehr Angriffe hat man auf dem Shop.
Wir sind täglich damit beschäftigt Updates in der Firewall durchzuführen und versuchen auch was Exploits angeht immer auf dem Laufenden zu sein, um Lücken schnell zu erkennen und schnell beheben zu können. Aber ich denke ebenfalls, dass es immer Leute geben wird, welche schneller sind und daher wäre echt einmal interessant zu wissen, was durch den Schaden bei kartenkaufhaus.de (siehe Kommentar von Martin) wirklich an Schaden entstanden ist, denn wenn wir doch ehrlich sind, kann zwar jeder Versuchen durch Firewall, System-Updates, … auf dem neusten Stand zu bleiben, doch eine 100% Sicherheit kann es nicht geben! Denn um eine Sicherheitslücke zu schließen muss diese erst einmal jemand finden!
Ich kann es auch nicht verstehen wie viele Administratoren von XTC-Shops einfach Module in den Shop einbauen können ohne wirklich zu wissen wie das Modul funktioniert oder was es bewirkt! (sollte man vielleicht auch einmal drüber nachdenken :-))
Ja daher kann ich nur sagen nein Danke xtc / os Shop Gefrickel, bei Unternehmenskritischen Anwendungen setze ich lieber auf bewährtes mit ordentlichen Support.
Also höre mir wirklich mal xtc auf. ich bereuhe es total, dass ich mich für diesen shop entschieden habe. ich sag mal so, er ist zwar kostenlos, aber die zeit zum optimieren dauert wirklich sehr lang und wenn man gar keine ahnung hat, dann dauert es noch viel länger
Meistens ist es doch so, dass über die Module der Angriff kommt
Sicherlich kommt ein Angriff über die Module, deswegen sollte ein solcher Shop auch extrem gesichert werden. Ist es doch eine Art “Laden” des 21. Jahrhunderts. Überfälle auf richtige Läden gibt es auch 🙂
Kann man überhaut sicher genug sein? Ich meine Hacker kommen doch ohnhin überall rein….
Wirklich mal ein sehr interessanter Artikel!
http://herrenausstatter-blog.blogspot.com/
Der Artikel ist prima,
leider ist es tatsächlich so, wenn jemand unbedingt
“Hacken” will, schafft er es auch irgendwie.
Sicher gibt es wohl nicht …
Absolute Sicherheit gibt es nie. Aber wenn Ihr in Euren shops die gröbsten Lücken schliesst, dann ist gegen Angriffe von Beginner-Hackern schon mal einiges getan.
Ein Fahrraddieb klaut schließlich auch als erstes ein Rad, was nicht oder nur schlecht gesichert ist. Ein fettes Schloss um Rad und Zaun ist schwieriger zu knacken. Aber absolut sicher ist es auch nicht. Es schützt nur vor Dieben, die mal eben nebenbei ein Rad für den Heimweg brauchen und das ist die Masse…..
Zu argumentieren, dass ich mein Rad gar nicht abschliessen soll, weil es ja sowieso nicht 100%-ig sicher ist, scheint mir absurd.
Danke für diese Anleitung.
Vielen Dank für die hilfreichen Informationen.
Ein gut nachvollziehbarer Artikel, der den Einstieg in den Onlineshop und/ oder die Grob-Bewertung der eigenen Shop-Aktivitäten unterstützen kann.
Tests und Analysen der amerikanischen Sicherheitsfirma WhiteHat Security (Registrierung erforderlich) haben ergeben, dass 80 % aller Webseiten bekannte Schwachstellen aufweisen. Laut Studie gelten Online-Shops als besonders gefährdet. Denn sie verwalten in der Regel eine Vielzahl sensibler Kundendaten und ermöglichen die Durchführung von Transaktionen mit monetärem Wert. Angriffe können somit sowohl dem Shopbetreiber, als auch dem Shopkunden auf direktem Wege Schaden zufügen.
Guter Artikel! Aber wie schon einer meiner Vorredner gesagt hat: “Wenn einer einen Shop wirklich hacken will, dann schafft er das auch”. Die Sicherheitslücken – vor allem bei kleineren Online-Shops sind meines Erachtens oft noch sehr groß…
Hi,
der Artikel ist wirklich sehr interessant. Und ja, wenn jemand etwas Hacken will und derjenige das nötige Wissen hat, schafft er es auch. Aber es ist denke ich gut, wenn man Shops (und auch Internetseiten) gegen die üblichsten Angriffe resistent macht. Das sind nun mal Cross-Site-Scripting, SQL Injections und Brute-Force. Ein großes Problem… oder auch segen ist, dass viele auf Open Source setzen. Problem ist, dass Hacker den Quellcode sehen können und so auch Fehler finden. Positiv ist, dass die Foren oft auch sehr schnell reagieren können.
Ein unabhängiger Shop-Test mit einer Dokumentation von Verbesserungsmöglichkeiten wäre eine prima Sache. Aber irgendwie habe ich Unbehagen: Bei dem empfohlenen Trusted Shops Angebot (Audit etc.) scheint es mir so zu sein, dass man gleich ein Abo mit monatlichen Gebühren von mindestens 59 Euro abschließen muss. Das ist für kleine Shops ziemlich viel. Klar ist natürlich, dass niemand seine Zeit in unentgeltliche Analysen investieren kann. Aber vielleicht gibt es ja einen Anbieter, bei dem man zuerst einmal “schnuppern” kann, der einem unentgeltlich schon einmal ein wenig Verbesserungsmöglichkeiten mit auf den Weg gibt. Wenn man dann merkt, dass man wirklich davon profitiert, dann könnte man das Abo eingehen und weitere Hinweise bekommen. Gibt es so ein Angebot irgendwo?
Sehr schönes Thema, nur aus eigenerr Erfahrung kann ich sagen, dass n Schutz vor Hackern sogar für das Pentagon oder Apple unmöglich ist, von daher, Streuverluste immer mit einkalkulieren.
Ich bin mir sicher das gute Hacker überall reinkommen. Man kann sich nicht wirklich sicher sein.
Hier sind europäische Gesetzesreformen notwendig und internationale Strafverfolgung.
National gibt’s ja eigentlich die Strafgesetze, vermutlich ergreifen nur die wenige bisher Strafanzeige.
———————————————————————————-
Angriffe erfolgen z.B. auch über Erpressersoftware, diese wird irgendwo durch den Besuch einer infizierten Webseite auf den PC des Opfers heruntergeladen und dann ausgeführt. Die Software lässt sich noch relativ schnell entfernen…. aber….
Befanden sich am PC des Opfers dort gespeicherte FTP Kennwörter sind innerhalb ca. 10 Stunden die Daten am Webserver verändert / die Dateien infiziert. Ich habe den Verdacht dass das ggf. auch durch Botnetze erfolgen kann, da eine hohe Anzahl an Dateien in kurzen Zeitabständen hochgeladen wird.
So werden also Webseiten ungewollt von den Betreibers zur Virenschleuder.
Mittlerweile ist einfach garnichts mehr sicher, egal wie viel man versucht sich dagegen zu wehren. Schafft es jemand eine Lücke in der Programmiersprache zu entdecken ist es egal was man versucht …
Wie ich schon immer gesagt habe, nichts ist mehr sicher.- Für jedes Schloss gibt es einen Schlüssel. Egal was man auch macht,- es ist nur eine Frage der Zeit- Ledier
Danke für den Beitrag. Die Inhalte sind auch für andere Formen von Webseiten gleichermaßen relevant (also nicht nur für online shops) 🙂
Sicherheit ist auch im Jahre 2023 ein wichtiges Thema, es lohnt sich auch ältere Beiträge anzuschauen. Danke