Sind Onlineshops wirklich sicher?

Vor einigen Wochen habe ich mich mit dem Thema Sicherheit von Onlineshops auseinander gesetzt. Das Ergebnis ist ernüchternd. Viele Onlineshops haben großen Schwachstellen.

Große Probleme hatten Shopsysteme mit Gästebüchern, diese waren nicht gegen SQL-Injections oder XSS (Cross Site Scripting) geschützt.


Übersicht:

  • XSS – Cross Site Scripting
  • SQL Injections
  • Betrug durch URL-Maanipulation
  • Betrug durch Datenmanipulation
  • Wie kann ich mich schützen?

1. XSS – Cross Site ScriptingDas bedeutet das Angreifer, über das Gästebuch, die Datenbank des Systems manipulieren können. Bei XSS wird schädlicher Code eingefügt, beispielsweise um Sessions zu klauen.Um zu prüfen ob Ihr Shop sicher ist, sollten Sie ihre Agentur mit einem Test beauftragen.Ob Cross Site Scripting möglich ist, können Sie selbst testen, indem Sie folgenden Code in allen Eingabefeldern testen.<script type=“text/javascript“> alert(„XSS“); </script>Sollte dann folgende Meldung erscheinen, haben Sie eine Lücke entdeckt:xss - cross site scriptingEine Anmerkung noch: XSS Funktioniert auch bei Get Variablen in der URL.  Wenn man eine Domain hat www.domain.de und dort eine Variable auf eine Seite übergibt und diese mit PHP echo ausgibt. Ist dort auch eine Schwachstelle. Man ersetzt einfach die URL zB. www.domain.php/index.php?ausgabe=test durch www.domain.php/index.php?ausgabe=<script type=“text/javascript“> alert(„XSS“); </script>Abhilfe leistet hier mod-rewrite über die .htaccess , da man so die GET Variablen wenigstens etwas verschleiert. Um die Attacken komplett abzuwehren, muss wieder ein Programmierer ran. 2. SQL InjectionsSQL-Injections lassen sich ebenfalls über Abfrageformulare einschleusen. Diese Attacken sind sehr gefährlich, da man mit Ihnen alles manipulieren oder auslesen kann.Abhilfe wird dadurch geschaffen, dass man die SQL Eingaben maskieren.Die PHP-Funktion mysql_real_escape_string bietet hier Abhilfe und maskiert die eingegebenen Werte.3. Betrug durch URL-ManipulationFalls Sie Downloads in Ihrem Shop anbieten, seien Sie vorsichtig. In vielen Onlineshopsystemen gibt es bei Downloadartikeln eine schwerwiegende Lücke.Testen können Sie wie folgt: (Hinweis: Dies soll keine Hackanleitung sein, der Beitrag soll zur Sicherheit von Shopbetreiben dienen und nicht missbraucht werden)

  • Öffnen Sie ihren Shop zB www.shopadresse.de
  • Loggen Sie sich nicht ein und legen die gewünschten Downloadartikel in den Warenkorb
  • Bestellen Sie nun als Gast und wählen Sie als Zahlungsmethode Kreditkarte
  • Geben Sie irgendwelchen Blödsinn ein ( auf keinen Fall die richtigen Daten )

Nun kommt der Hack. Das Shopsystem leitet Sie nun auf folgende Adresse um:www.shopadresse.de/checkout_payment.php(evtl noch ein paar wilde Zahlen und Buchstaben)ändert man nun payment in success, könnte man Zugriff haben.www.shopadresse.de/checkout_success.php(evtl noch ein paar wilde Zahlen und Buchstaben)Abhilfe schafft hier einfach die Kreditkarte zu deaktivieren und stattdessen nur Paypal zu nutzen. Ist der Shop nun richtig konfiguriert, muss der Kunde erst bezahlen, bevor der Download auch freigegeben wird.4. Betrug durch DatenmanipulationEs gibt noch ein paar Shops aus alten Tagen, die in erster Linie mit JavaScript funktionieren. Dort sind die einzelnen Artikel auch im Quelltext. Nimmt man sich nun ein Addon wie etwa Firebug, kann man munter und fröhlich einen Gutschein mit einbauen oder die Preise senken etc. 5. Was können Sie nun tun, um sich zu schützen?

  • Lassen Sie den Onlineshop von einem Profi erstellen.
  • Installieren Sie die aktuellsten Updates
  • nutzen Sie sinvolle Erweiterungen wie mod-rewrite
  • Nutzen Sie wenn möglich ein SSL Zertifikat. Wenigstens bei dem Bezahlvorgang

Schließlich sind die Sicherheitslücken nicht nur für Sie gefährlich, sondern auch für die Kunden des Onlineshops