Artikel top billede

Eksperter advarer mod sårbare offline webapplikationer

Offline webapplikationer, som bygger på Google Gears eller HTML 5, kan rumme ny sårbarhed. Dansk ekspert foreslår, at brugere stiller krav om sikkerhedsdokumentation fra websites.

På BlackHat-konferencen i Washington DC, der løb af stablen i sidste uge, præsenterede Michael Sutton fra Zscaler en sårbarhed, som gør det muligt at anvende online-webapplikationer offline.

Angriber lokal database

Det er blandt andet webapplikationer, som anvender Gears fra Google samt applikationer, der anvender Database Storage-funktionaliteten i HTML 5-specifikationen.

Både Gears og Database Storage giver mulighed for at gemme data i en lokal relationel database på det lokale filsystem.

Det giver ifølge Michael Sutton en ny angrebsmulighed for hackere. Der er tale om en variant af de famøse SQL injections som manipulerer data på webapplikationernes servere.

Nu får hackerne mulighed for at lave client-side SQL injection (clSQLi), advarer Michael Sutton.

clSQLi kan give hackerne adgang til at ændre og læse data fra den lokale database på pc'en.

Truslen er stadig i sin vorden

Michael Sutton mener, at truslen stadig er til at overse, da der endnu ikke findes så mange webapplikationer, der giver mulighed for at køre offline.

"Webapplikationer med lokale databaser ved hjælp af HTML 5 er sjældne på nuværende tidspunkt, da det kun er WebKit baserede browsere som har implementeret den funktionalitet (hvilket vil sige Safari)," skriver Michael Sutton på sin blog.

Truslen vil ændre sig

Han fortsætter dog med at advare mod, at det hurtigt kan ændre sig, og at clSQLi i dag er mulig på Gears-baserede applikationer:

"Det (truslen, red.) vil dog ændre sig med de nylige meldinger om, at offline Gmail adgang bliver udviklet til iPhone og Android-baserede mobiltelefoner ved hjælp af HTML 5 Database storage. Gears-understøttede applikationer findes allerede og derfor er csSQLi i dag en realitet," lyder det på Michael Suttons blog.

Nemt at få kendskab til databasestruktur

I forhold til normal SQL Injektion vil det være nemmere for hackeren at lave csSQLi. Ved normal SQL injektion kender hackeren oftest ikke den underliggende databasestruktur.

Med offline webapplikationer skal hackeren blot installere web-applikationen for at kunne dissekere den lokale databasestruktur. Derved ved han præcist, hvad han kan gå efter.

Michael Sutton understreger, at sårbarheden ikke skyldes Gears eller HTML 5 selv, men at det er en udvidelse af mulighederne for angreb fra sites med cross-site-scripting (XSS) sårbarheder.

"Det er vigtig at bemærke, at angrebet ikke har noget med usikkerheder i selve Gears-teknologien. Som nævnt bliver angrebet muligt, når Gears bliver implementeret på et site med eksisterende XSS-sårbarheder," skriver Michael Sutton.

Dansk sikkerhedsekspert: Forlang dokumentation for sikkerhed

Den danske sikkerhedsekspert Ulf Munkedal, stifter af Fort Consult og aktiv inden for it-sikkerhed i mange år, må desværre bekræfte fremkomsten af den ny trussel mod computerbrugerne:

"Jeg synes, Michael Sutton har en rigtig god pointe. Dette er potentielt en glidebane til endnu mere informations- og identitetstyveri fra brugerne. I dag kan en såkaldt cross-site-scripting - XSS - sårbarhed på en webserver gøre, at hackeren kan angribe brugerne af et website, hvis hackeren kan få dem til at klikke på et specielt konstrueret link. Angrebet kan eksempelvis bruges til at hackeren får adgang til aktive og fortrolige cookies på brugerens maskine, som ellers kun brugeren bør kunne se indholdet af," lyder det fra Ulf Munkedal, der fortsætter:

"Med endnu flere og vigtigere informationer lokalt på brugerens maskine end blot cookie-informationer åbner man naturligvis for, at der via et sikkerhedshul på web-sitet, kan stjæles informationer af en hacker, selvom brugerens maskine er helt sikker.

Det kan være fortrolige informationer, som er meget nemmere for en hacker at bruge direkte end eksempelvis sessions/authentication-data, som er det typiske indhold af cookies," vurderer Ulf Munkedal.

Ulf Munkedal opfordrer til, at webapplikationer sikres ordentligt og løbende testes for sårbarheder.

"Anbefalingen må naturligvis være, at brugerne sikrer sig, at de web-sites, som har adgang til brugernes informationer, løbende får sikkerhedsscannet og -testet deres applikationssikkerhed - og at det kan dokumenteres," foreslår Ulf Munkedal.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere