Ist die Webseite anfällig gegen Phishing/Clickjacking?
In dem Beispiel können Sie Ihre Webseite testen, ob diese anfällig gegen Phishing/Clickjacking ist.
Selbstverständlich können nicht alle Sicherheitslücken überprüft werden. Da das hier getestete Sicherheitsrisiko fast ohne jeglichen Aufwand zu schließen ist, sollte jeder Webmaster die entsprechenden Vorkehrungen treffen.
Die Testseite zeigt im Ansatz Clickjacking/Phishing (entführen eines Mausklicks, abfischen von Zugangsdaten) bei unsicheren Webseiten. Hiermit wäre es möglich, die Zugangsdaten (z.B. Ihr WordPress Zugang) auszuspähen. Wenn Sie mehr zu Clickjacking/Phishing erfahren wollen, suchen Sie im Netz.
Das Testbeispiel ist nicht als Beispiel geeignet, wie ein Hobby-Hacker an Ihre Zugangsdaten gelangen kann. Es zeigt aber, wie schnell man durch einen unachtsamen Klick diese preisgeben kann. Stellen Sie sich nur einmal vor, Sie haben vor dem Mausklick in entsprechende Felder Ihre Zugangsdaten eingegeben.
Ein ausgefeilteres Beispiel habe ich dem Datenschutzbeauftragen zugestellt. Er sieht dieses Sicherheitsleck so wie ich als schwerwiegende an. Schwerwiegend auch deshalb, weil die Beseitigung max. 5 Minuten (für einen Anfänger) in Anspruch nimmt.
Webmaster, die öffentliche Seiten erstellen und dieses Sicherheitsleck nicht beseitigen, sind beratungsresistent oder einfach nur ….. oder grob fahrlässig.
Man wird sich wundern. Bei fast allen Seiten, die Sie testen werden, wird man dieses Sicherheitsrisiko vorfinden. Und dann wird das ja wohl nicht so schlimm sein. Die Anderen haben das Risiko auch nicht beachtet. Wenn etwas passiert, wird das Geschrei groß sein. Versuchen Sie es aber einmal mit der Webseite für Ihr Onlinebanking (Login).
HINWEIS: Im Rahmen eines wohl eigens aufgesetzten Projekt, angelehnt an „Jugend forscht“ wurden Lösungen implementiert, die zeigen wie …….. man die Sache angehen kann. Bevor man den Test macht, sollte man die Vorgehensweise dieser ….. kennen. Siehe hierzu: Es gibt Webmaster die sperren Besucher aus.
Hier geht es zum Test
Seit 2011 weise ich auch diverse Unternehmen und auch Kommunen auf dieses Problem hin. Auch die Sparkasse Dieburg hatte in 2011 dieses Sicherheitsrisiko nicht beachtet. Die Sparkasse hat anders als verschiedene Besserwisser oder vermeintlich besser geschulte Webmaster gehandelt und das Problem beseitigt.
…..[]…Wir haben Ihren Hinweis aufgenommen und bereits an unser Rechenzentrum zur weiteren Verifizierung weitergeleitet.
Und schwupp, das Problem war beseitigt. Siehe.
Nachtrag
Eine große Stadt in Bayern wehrt sich jetzt gegen diese Art von Angriff.
Siehe auch
» Der Hessische Datenschutzbeauftragte. Datenschutz
» Bundesamt für Sicherheit in der Informationstechnik BSI
Rödermark intern
Wann wird die Verwaltung damit beginnen, ihren EIGENEN Auftrag und von den Stadtverordneten mit Mehrheit beschlossen, ein Sonder- und Gewerbegebiet nördl. der Germania zu ermöglichen, umzusetzen. Prüfung eines Sonder- und Gewerbegebiets nördl. Germania
Der Beschluss erfolgte am 9.02.2021. Irgendein Fortschritt ist für mich nicht zu erkennen.
Oh Gott Rödermark.
Bitte einmal testen:
http://www.roedermark.de/typo3/
https://ri.roedermark.de/ri/logon.asp
Anderen Städten sind auch nicht sicherer.
Admin
Vollkommen richtig bemerkt.
Aber ich wohne halt mal in Rödermark.
Testet man Webseiten anderer Städte wird man vielfach das gleiche Sicherheitsrisiko vorfinden. Man könnte sagen: „Bei einer normalen Webseite kann auch nicht viel passieren. Es gibt meist keine Logindaten die man abfischen könnte“. Ist aber GRUNDFALSCH. Warum? Werde ich NICHT erklären.
Es gibt Webseiten die Zugangsdaten erwarten. Gibt man dann auf einer so manipulierten Webseite die Zugangsdaten ein hat man den Salat. Darum muss das geschilderte Loch geschlossen werden. Aufwand kleiner 5 Minuten für einen Anfänger.
Und nochmal ganz deutlich.
Wenn das Leck geschlossen ist, ist die Webseite weiterhin in Gefahr wenn schlampig gearbeitet wird.
Es wurde ein Sicherheitsrisiko von vielen geschlossen.
Man wird sich wundern. Bei fast allen Seiten die Sie testen werden, wird man diese Sicherheitsrisiko vorfinden. Und dann wird das ja wohl nicht so schlimm sein. Wenn etwas passiert wird das Geschrei groß sein.
Versuchen Sie es aber einmal mit der Webseite für Ihr Onlinebanking (Login).
Warum bin ich nicht verwundert?
Admin
Rödermark ist doch nicht anders.
Geht ja wieder. Link ist wieder da. Was war los?
Admin
Hatte da Ärger mit einer Pappnase die meinte ich würde hacken. Habe dann mal für kurze Zeit den Link entfernt und mich rückversichert.
War genau wie vor einigen Jahren. Dummes Gebabbel und drohen mit Anwalt. Nur weil der Webmaster nicht in der Lage ist seine Seite auf Vordermann zu bringen.
Die Seite der Stadt ist ja ein komplettes Sicherheitsrisiko. Glücklicherweise ohne Login.
Admin
Nicht ganz richtig. Es gibt Seiten mit Login die unsicher sind. Es gibt auch Seiten, bei denen Daten der Bürger abgefragt werden und ebenfalls unsicher sind.
Aber scheinbar interessiert das bei der Stadt keinen.