BETA-Cybersecurity-Werkzeug

Web-Security Check

Geben Sie eine URL in das Eingabefeld ein und der Web-Security Checker prüft, ob die Webseite die empfohlenen Sicherheits-Header implementiert hat.

Was sind HTTP-Header?

HTTP-Header sind ein integraler Bestandteil von HTTP-Anfragen und -Antworten. Sie übermitteln Informationen zwischen dem Client (z. B. einem Webbrowser) und dem Server. Diese Informationen beziehen sich auf die gesendeten oder empfangenen Daten und geben Anweisungen darüber, wie sie verarbeitet oder interpretiert werden sollen. HTTP-Header sind in Schlüssel-Wert-Paaren organisiert.

Was sind Security-Header?

Security-Header sind ein wesentlicher Bestandteil der Web-Sicherheit. Sie bieten eine einfache Möglichkeit, die Sicherheit einer Website zu erhöhen, indem sie den Browsern Anweisungen geben, wie sie sich in bestimmten Situationen verhalten sollen.

red bubble effect

Die wichtigsten Security-Header im Überblick

X-Frame-Options

Der Header X-Frame-Options wird verwendet, um zu steuern, ob ein Browser ein <iframe>, <frame>, <embed> oder <object> rendern darf. Er wird hauptsächlich verwendet, um Clickjacking-Angriffe zu verhindern.

Clickjacking-Angriff

Clickjacking ist eine Technik, bei der ein Angreifer einen Benutzer dazu verleitet, auf etwas anderes zu klicken, als er denkt. Dies wird erreicht, indem eine böswillige Webseite über einer legitimen Webseite platziert wird.

Der Angreifer erstellt eine bösartige Website, die als Overlay über einer vertrauenswürdigen Website agieren soll.

Der Angreifer positioniert gezielt Schaltflächen oder Links auf der sichtbaren böswilligen Schicht an Stellen, wohinter sich Schaltflächen oder Links der vertrauenswürdigen Website befinden.

Jeder Klick des Nutzers auf die sichtbaren Schaltflächen führt Aktionen auf der unsichtbaren Schicht aus. Das Opfer klick durch die sichtbare Schicht hindurch. So könnte es unwissentlich eine Zahlung bestätigen oder Ähnliches.

Empfehlung des X-Frame-Options Headers

Es wird empfohlen, den Header X-Frame-Options mit dem Wert DENY oder SAMEORIGIN zu setzen, je nachdem, ob die Seite in einem Frame auf derselben Domain gerendert werden soll oder nicht. Dies verhindert, dass ein Angreifer die Seite unsichtbar in einem Frame auf einer anderen Domain rendert.

X-Content-Type-Options

Der Header X-Content-Type-Options wird verwendet, um den Browser daran zu hindern, MIME-Typen zu "erraten" und stattdessen den im Content-Type-Header angegebenen MIME-Typ zu verwenden. Ein MIME-Type (Multipurpose Internet Mail Extensions) gibt den Typ einer Datei oder einer Nachricht an, z.B. ob es sich um ein Bild, ein Video, ein Skript oder Text handelt. Webbrowser verwenden MIME-Typen, um zu bestimmen, wie sie eine Datei verarbeiten oder darstellen sollen.

Mime-Sniffing als Angriff

Ein Angreifer lädt eine JavaScript-Datei mit einer .jpg Endung auf eine Webseite hoch, die Datei-Uploads erlaubt.

Der Server aktzeptiert die Datei ohne weitere Überprüfung als Bild (image/jpeg) und speichert diese ab.

Ein Opfer wird dazu verleitet, die Datei zu öffnen. Der Browser kann die Datei nicht als Bild anzeigen und versucht den Inhalt der Datei nun zu erraten. Er erkennt JavaScript-Code und interpretiert diesen als solchen.

  • Der JavaScript-Code könnte dazu verwendet werden, Cookies zu stehlen, eine Cross-Site-Scripting-Attacke (XSS) durchzuführen oder andere schädliche Aktionen auf der Webseite des Opfers auszuführen.

Empfehlung des X-Content-Type-Options Headers

Es wird empfohlen, den Header X-Content-Type-Options mit dem Wert nosniff zu belegen. Dies sorgt dafür, dass der Browser sich strikt an den MIME-Typ hält, der im Content-Type-Header angegeben ist.

Strict-Transport-Security

Der Header Strict-Transport-Security (HSTS) wird verwendet, um den Browser dazu zu zwingen, Verbindungen über HTTPS statt HTTP herzustellen.

Man-In-The-Middle-Angriff

Ein Man-in-the-Middle (MitM)-Angriff ist eine Art von Cyberangriff, bei dem ein Angreifer die Kommunikation zwischen zwei Parteien abfängt, ohne dass diese davon wissen. Der Angreifer kann die Kommunikation überwachen, manipulieren oder sogar unterbrechen.

Der erste Schritt für den Angreifer ist es, sich zwischen dem Opfer und einem Server (z.B. ein Benutzer und dessen Bank) zu positionieren. Dies kann durch verschiedene Techniken erreicht werden, wie z.B. ARP-Spoofing, DNS-Spoofing oder das Ausnutzen von unsicheren WLAN-Netzwerken.

Das Opfer verbindet sich wie gewohnt mit einem Netzwerk oder einem Dienst, ohne zu wissen, dass der Angreifer plant, sich in die Kommunikation einzuschalten.

Der Angreifer beginnt, den Datenverkehr zwischen dem Nutzer und dem Server abzufangen. Er kann alle übertragenen Daten lesen, da diese unverschlüsselt übertragen werden.

Nachdem der Angreifer die Daten abgefangen oder manipuliert hat, leitet er sie an den ursprünglichen Bestimmungsort weiter, um keinen Verdacht zu erregen.

Das Opfer empfängt die Daten oder die Antwort vom Server und bemerkt in den meisten Fällen nicht, dass ein Angriff stattgefunden hat.

Empfehlung des Strict-Transport-Security Headers

Es wird empfohlen, den HSTS-Header mit einer angemessenen max-age-Direktive zu setzen und die includeSubDomains-Direktive zu verwenden. So wird sichergestellt, dass die Kommunikation zwischen Server und Nutzer immer verschlüsselt wird.

Content-Security-Policy (CSP)

Content Security Policy (CSP) ist eine Sicherheitsfunktion, die es Webseitenbetreibern ermöglicht, festzulegen, von welchen Quellen eingebettete Inhalte geladen werden dürfen. Dadurch können potenzielle Angriffe, wie Cross-Site Scripting (XSS), verhindert werden, indem nicht vertrauenswürdige Quellen blockiert werden.

Cross-Site Scripting Angriff (XSS)

Ein XSS-Angriff (Cross-Site Scripting) ist eine Sicherheitslücke in Webanwendungen, bei der ein Angreifer bösartigen Code in eine Website einschleust, der dann von anderen Benutzern im Browser ausgeführt wird.

Der Angreifer sucht nach Webseiten, die Benutzereingaben ohne ausreichende Validierung direkt in ihre Webseiten rendern.

Der Angreifer erstellt ein schädliches Skript, das, wenn es ausgeführt wird, bestimmte Aktionen ausführt, z.B. das Stehlen von Cookies oder anderen sensiblen Daten.

Wenn das Opfer die manipulierte Webseite besucht, wird der schädliche Code im Kontext des Browsers des Opfers ausgeführt.

  • Der Angreifer verwendet die durch den XSS-Angriff erlangten Daten für böswillige Zwecke, z.B. um sich in das Konto des Nutzers einzuloggen, betrügerische Transaktionen durchzuführen oder andere schädliche Aktionen auszuführen.

Empfehlung des Content-Security-Policy Headers

Es wird empfohlen, eine strikte CSP zu verwenden, die nur vertrauenswürdige Quellen für Inhalte zulässt und insbesondere das Ausführen von Inline-Skripten verbietet.

Referrer-Policy

Der Header Referrer-Policy steuert, wie viel Referrer-Information (die URL der Seite, von der der Benutzer gekommen ist) bei Anfragen an andere Seiten versendet wird.

Tracking mittels Referrer-Policy

Wenn zu viele Referrer-Informationen gesendet werden, können vertrauliche Daten in URLs (z. B. Session-IDs oder Tokens) an Dritte weitergegeben werden. Auch erleichtern Referrer-Informationen das Tracking von einzelnen Benutzern.

Empfehlung des Referrer-Policy Headers

Es wird empfohlen, eine strenge Referrer-Policy wieno-referrer oder same-origin zu verwenden. Diese verhindern, dass Referrer-Informationen an andere Seiten gesendet werden.

Permissions-Policy

Der Header Permissions-Policy wird verwendet, um zu steuern, welche Web-APIs und Features des Browsers von JavaScript verwendet werden darf. Ohne diesen Header können etwa Drittanbieter-Inhalte auf Funktionen zugreifen wie beispielsweise APIs zum Ansteuern des Mikrofons, der Kamera und des Nutzerstandortes.

Empfehlung des Permissions-Policy Headers

Es wird empfohlen, den Header Permissions-Policy zu verwenden und nur die notwendigen APIs und Features des Browsers freizugeben, die wirklich benutzt werden. So wird verhindert, dass auf möglicherweise sensible Daten zugegriffen werden kann. Möglicher Schadcode wird somit in seinen Aktionen eingeschränkt.

Das Beherrschen der HTTP-Security-Header ist wie das Entriegeln einer Schatztruhe voller Schutzmechanismen für eine vertrauenswürdige und sichere Online-Präsenz.

Tim Bastin - Software Sicherheitsspezialist
yellow backround

Schützen Sie, was Ihnen wichtig ist

Es ist Zeit, die Kontrolle über Ihre digitale Sicherheit zu übernehmen. Stärken Sie sich gegen Cyberbedrohungen

Sie haben Fragen?

Wir haben die Antworten!

Kontaktieren Sie uns für Fragen wie Fördermöglichkeiten und Ablauf der Cybersecurity-Dienstleistung.

Frederic Noppe
frederic.noppe@l3montree.com
+49 1525 8737953