G 5.166 Missbrauch einer Webanwendung durch automatisierte Nutzung

Bei der automatisierten Bedienung von Webanwendungen werden Funktionen der Anwendung computergesteuert genutzt, z. B. durch Skripte, die Eingaben durch Tastatur und Maus emulieren. Dadurch können Vorgänge in kurzer Zeit durchgeführt werden und Angreifer können somit auf Wiederholung basierende Angriffe gegen die Webanwendung effizient durchführen. Mithilfe eines wiederholt durchgeführten Login-Prozesses können z. B. gültige Kombinationen aus Benutzernamen und Passwort systematisch ermittelt (Brute-Force) oder Listen mit gültigen Benutzernamen erzeugt werden (Enumeration).

Darüber hinaus kann das wiederholte Aufrufen von ressourcenintensiven Funktionen (z. B. komplexe Datenbankabfragen) für Denial-of-Service-Angriffe auf Anwendungsebene missbraucht werden. Während Denial-of-Service-Angriffe auf Netzwerkebene häufig viele Verbindungsversuche erfordern, können Angriffe auf Webanwendungsebene oft effizienter durchgeführt werden.

Beispiele: