G 5.87 Web-Spoofing

Der Begriff Spoofing beschreibt das Vortäuschen einer falschen Identität durch einen Angreifer. Verschiedene Arten von Spoofing sind zum Beispiel ARP-, DHCP-, DNS-, IP-, MAC-, Mail- und URL-Spoofing.

Beim Web- oder URL-Spoofing fälscht ein Angreifer eine existierende Webseite, das heißt er gestaltet eine von ihm angebotene Webseite so, dass diese wie die Webseite einer bekannten Institution aussieht. Die bereits vorhandene Webseite, die nachgebildet wurde, wird dabei nicht verändert, sondern ist weiterhin in der ursprünglichen Form erreichbar. Mit Hilfe verschiedener Tricks versucht der Angreifer dann Benutzer auf die von ihm ins Netz gestellte Webseite zu locken.

Dazu könnte er beispielsweise seine Web-Adresse so wählen, dass viele Benutzer alleine durch die Adresswahl davon ausgehen, mit einer bestimmten Institution verbunden zu sein. So kann er beispielsweise eine Seite registrieren, bei der der Hostname mit dem der Original-Webseite identisch ist, aber die Top-Level-Domain ausgetauscht wurde (zum Beispiel http://www.example.net statt http://www.example.de). Er kann aber auch versuchen, eine Adresse zu verwenden, die häufige Tipp- oder Schreibfehler ("Typosquatting") enthält und so Benutzer auf die gefälschte Seite locken (zum Beispiel http://www.exampel.com).

Eine weitere Möglichkeit besteht darin, manipulierte Links zu verbreiten. Es können unterschiedliche Zeichensätze und gleich aussehende Buchstaben verwendet werden, um täuschend echt aussehende Links zu erzeugen. Beispielsweise könnten Zahlen, die auf den ersten Blick wie Buchstaben aussehen oder Buchstaben, die sich ähneln, verwendet werden. Neben dem kaum zu erkennenden Unterschied zwischen "I" (großes "i") und "l" (kleines "L") können auch ähnlich aussehende Buchstaben verwendet werden. Ein Beispiel hierfür ist die lateinische und die kyrillische Schreibweise des Buchstabens "a", der jeweils gleich aussieht, aber unterschiedlich kodiert wird.

Benutzern können auch Adressen angezeigt werden, die aber nicht mit denen identisch sind, zu denen der Link führt. Beispielsweise kann durch die Nutzung eines HTML-Links die URL der vertrauenswürdigen Seite angezeigt werden, obwohl der Link zu einer gefälschten Seite führt. Als andere Möglichkeit können Benutzername und Passwort in der URL dem Seitennamen vorangestellt werden (http://www.example.com@attacker.com). Benutzer, die diese Schreibweise nicht kennen, nehmen an, dass sie zu der Webseite, die als Benutzername/Passwort angegeben ist, geleitet werden, obwohl sich der tatsächlich verwendete Hostname wesentlich weiter hinten in der URL befindet.

Spoofing bei Web-Services

Bevor ein Web-Service-Client einen Web-Service nutzt, benötigt der Client Informationen, wie und mit welchen Parametern der gewünschte Web-Service aufzurufen ist. Diese Informationen sind in den Metadaten-Dokumenten, also zum Beispiel einer WSDL-Datei oder einer WS-Security-Policy-Datei, definiert. Gelingt es einem Angreifer, diese Informationen absichtlich zu verändern, kann er damit das Verhalten des Clients oder die eingesetzten Sicherheitsmechanismen beeinflussen. Diese Art der Veränderung an Metadaten-Dateien ist auch als Metadata Spoofing bekannt.

Weitere Spoofing-Angriffe auf Web-Services basieren auf den im SOAP-Protokoll vorgesehenen optionalen Routing-Informationen. So kann beim Aufruf eines Web-Service im <ReplyTo>-Feld der SOAP-Anfrage ein vom anfragenden Client abweichendes System angegeben und dadurch eine IP-Verbindung vom Web-Server zu einem anderen System initiiert werden, um zum Beispiel einen Denial-of-Service-Angriff oder komplexere andere Angriffsszenarien durchzuführen.