Geschrieben am 28.04.2025 von:
Noureddine Jerbi
Penetration Tester | IT Security Consultant
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 44
E-Mail senden
Im vorherigen Beitrag haben wir aufgezeigt, wie sich Cyberkriminelle größtenteils auf den Menschen als Angriffziel konzentrieren – etwa durch Malware-Verbreitung, Phishing oder Angriffe auf Passwörter. In diesem Beitrag richten wir den Fokus auf technische Angriffsvektoren. Zu den häufigsten zählen Distributed-Denial-of-Service-(DDoS)-Attacken, SQL-Injektionen sowie Cross-Site-Scripting-(XSS)-Angriffe. Worum es sich dabei genau handelt, schauen wir uns nun an.
Distributed Denial of Service (DDoS)
DDoS-Angriffe (kurz für „Distributed Denial of Service“) sind gezielte Angriffe, die darauf abzielen, IT-Systeme durch eine massive Überlastung lahmzulegen. Cyberkriminelle setzen diese Angriffe ein, um die Verfügbarkeit von Diensten zu stören, finanzielle Schäden zu verursachen oder das Vertrauen in betroffene Organisationen zu untergraben.
Solche Angriffe werden häufig mithilfe von Botnetzen durchgeführt. Diese bestehen aus einer Vielzahl kompromittierter Computersysteme oder IoT-Geräte, die mit Malware infiziert wurden und vom Angreifer ferngesteuert werden können. Sobald ein Angriff ausgelöst wird, senden alle Geräte im Botnetz gleichzeitig Anfragen an das Zielsystem. Infolgedessen wird die Bandbreite des Netzwerks überlastet oder die Serverressourcen werden vollständig ausgeschöpft, sodass legitime Anfragen von Nutzern nicht mehr bearbeitet werden können.
SQL-Injection
SQL-Injection (SQLi) zählt zu den kritischsten und am häufigsten auftretenden Schwachstellen in Systemen, die SQL-Datenbanken (Structured Query Language) verwenden, wie beispielsweise Webanwendungen. Diese Angriffsmethode ermöglicht es Angreifern, durch unzureichende Validierung von Benutzereingaben oder das Umgehen von Sicherheitsmechanismen manipulierte SQL-Befehle einzuschleusen, um die von einer Anwendung an die Datenbank gestellten Abfragen zu verändern.
Ein erfolgreicher SQL-Injection-Angriff erlaubt es Angreifern auf sensible Informationen in der Datenbank zuzugreifen, wie etwa Benutzerdaten, administrative Informationen oder andere technische Details. Diese Daten können nicht nur ausgelesen, sondern auch verändert oder gelöscht werden, wodurch die drei zentralen Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – beeinträchtigt werden.
In bestimmten Szenarien kann SQL-Injection darüber hinaus dazu führen, dass Angreifer Zugriff auf den zugrunde liegenden Server oder andere Systeme der Back-End-Infrastruktur erhalten. Diese Angriffe werden häufig auch genutzt, um Authentifizierungsprozesse zu umgehen (Authentication-Bypass).
Angenommen, es geht um ein einfaches Login-Formular mit den Feldern für Benutzername und Passwort. Im Hintergrund wird die folgende SQL-Abfrage ausgeführt, um die Anmeldedaten zu verifizieren:
SELECT * FROM users WHERE username = ‚$Benutzername‘ AND password = ‚$Passwort‘
- Gibt ein Angreifer in das Benutzernamenfeld einen beliebigen Namen gefolgt von ‚ OR 1=1 — ein
- Wird die resultierende SQL-Abfrage wie folgt aussehen:
SELECT * FROM users WHERE username = ‚irgendeinname‘ OR 1=1 –‚ AND password = ‚$Passwort‘
Da die Bedingung „1=1“ bzw. (irgendeinname ODER 1=1) immer wahr ist und alle weiteren Bedingungen durch das „–“ Kommentarzeichen ignoriert werden, wird die gesamte WHERE-Bedingung als wahr ausgewertet. Dies führt dazu, dass die Datenbank Zugriff gewährt, unabhängig davon, ob die eingegebenen Anmeldedaten korrekt sind. In den meisten Fällen authentifiziert die Anwendung den Angreifer als den ersten Benutzer in der Datenbank, der häufig ein Administrator ist.
Cross-Site Scripting
Cross-Site Scripting (XSS) zählt ebenfalls zu den häufigsten und ernsthaftesten webbasierten Angriffsszenarien. Ähnlich wie bei SQL-Injection werden dabei Schwachstellen durch die unzureichende Validierung von Benutzereingaben ausgenutzt. Angreifer schleusen bösartigen Code – meist in JavaScript – in eine Anwendung ein, der dann im Browser anderer Benutzer oder Administratoren ausgeführt wird.
XSS lässt sich in drei Hauptarten unterteilen:
- DOM-basiertes XSS: Der Angriff erfolgt direkt im Browser durch die Manipulation des Document Object Model (DOM). Betroffen sind vor allem dynamische Inhalte, die ohne Sicherheitskontrollen auf der Webseite verarbeitet werden.
- Reflektiertes XSS: Der schädliche Code wird in URL-Fragmenten oder Parametern eingeschleust und muss vom Opfer angeklickt werden, um ausgeführt zu werden.
- Persistentes (gespeichertes) XSS: Diese Variante birgt das höchste Risiko, da der Schadcode auf dem Server gespeichert wird. Bei jedem Seitenaufruf wird der Code automatisch ausgeführt, ohne dass eine Benutzerinteraktion erforderlich ist.
Die Folgen eines erfolgreichen XSS-Angriffs hängen von der eingesetzten Nutzlast (engl. Payload) sowie den Eigenschaften des angegriffenen Systems ab. Zu den häufigsten Konsequenzen gehören:
- Entwendung von Sitzungs-Cookies, was Angreifern die Übernahme von Benutzerkonten ermöglicht.
- Manipulation von Anmeldemasken, was dazu führt, dass Nutzer ihre Zugangsdaten auf gefälschten Formularen eingeben
- Verbreitung von Malware, wodurch schädliche Programme über die kompromittierte Webseite auf die Geräte anderer Nutzer übertragen werden können
Im nächsten Beitrag beschäftigen wir uns mit gezielten Manipulationstechniken, die, auch durch den Einsatz von KI, zunehmend an Relevanz gewinnen. Im Fokus stehen dabei Spoofing-Angriffe, Deepfakes sowie der Einsatz automatisierter Anrufe (Robocalls), mit denen Angreifer versuchen, Vertrauen zu erschleichen und sicherheitsrelevante Informationen abzugreifen.