G 5.173 Einbindung von fremden Daten und Schadcode bei Webanwendungen

Werden die Ein- und Ausgabedaten einer Webanwendung nicht ausreichend validiert, so kann ein Angreifer Inhalte, wie z. B. Schadcode zur Manipulation der Webanwendung oder des Clients (z. B. Webbrowser), einbinden. Die eingebundenen Daten werden dem Benutzer im Sicherheitskontext der Webanwendung präsentiert. Demzufolge ist es dem Benutzer der Webanwendung nicht oder nur eingeschränkt möglich, die manipulierten Anteile der Webanwendung zu erkennen. Der Angreifer kann so die Vertrauensstellung des authentisierten Nutzers gegenüber der Webanwendung ausnutzen.

Sowohl die Clients als auch die Server der Webanwendung können durch eingebundenen Schadcode angegriffen werden. So können von einem Angreifer eingebettete Daten beispielsweise Schadcode zur Ausführung auf den Clients (z. B. zum Auslesen von vertraulichen Daten) oder gefälschte Anmelde-Formulare zum Diebstahl von Zugangsdaten beinhalten. Wird der eingebundene Programmcode in der Webanwendung ausgeführt, so kann darüber hinaus das unter der Webanwendung liegende Betriebssystem kompromittiert werden.

Beispiele: