# SessionID per img-tag auslesen



## Michoel (22. Mrz 2010)

Hallo Forum, 
ich frage mich, wie ein Böser SessionID's von anderen Nutzern auslesen kann. 



1. Möglichkeit: Böser Nutzer X kann Javascript auf meinen Server oder Webseite einschleusen (Bsp. Eintrag Forum, Gästebuch) und Daten von Mitgliedern (Mitglied Z) mit seinem JavaScript das Cookie direkt auslesen. Sein Script liest die SessionID aus und schickt es an den bösen Nutzer X.




2. Möglichkeit. Böser Nutzer X baut ein img-Tag in die Webseite ein. (Bsp. Eintrag Forum, Gästebuch). Dieser IMG-Tag zeigt auf ein Bild, welches sich auf dem Server von böser Nutzer X sich befinden sollte. 

2.1) Das Bild ist natürlich auf dem Server nicht vorhanden, sondern auf dem Bildpfad lauscht ein Servlet. Dieses Servlet liest von der URL-Anfrage (Request) des Mitgliedes Z die Session-ID aus. Das ist aber nur möglich, wenn die SessionID per URL-Rewriting in die URL gespeichert wurde ne? Kann er über den Request bzw. HTTP-Headers sonstiges anstellen, bsp. Cookie auslesen, falls URL-Rewriting nicht stattfand. 

In dem Tutorial welches ich durchlese steht:


> Beliebter Transportweg ist dabei ein untergeschobener Image-Tag, der ein unsichtbares Bild von einem von der Angreiferin kontrollierten Server nachlädt und die Session-ID als Request-Parameter der Anfrage mitgibt.



Es soll aber eine Sicherheitsvorkehrung von URL-Rewriting geben, dass URL-Rewriting nur auf den Ursprungsserver (ContextPath) anwendet. Das habe ich leider nicht verstanden?


Viele Grüße
Michi


----------



## SlaterB (23. Mrz 2010)

> Es soll aber eine Sicherheitsvorkehrung von URL-Rewriting geben, dass URL-Rewriting nur auf den Ursprungsserver (ContextPath) anwendet. 
> Das habe ich leider nicht verstanden?

was kann man daran nicht verstehen? 
ein Apfel ist rot, es gibt diese Sicherheitsvorkehrung,
beides sind simple Aussagen, ob man ihnen glaubt oder nicht, der Sinn sollte doch klar sein?

bei google ist mir dieser Link aufgefallen,
JSP-Tutorial - Session-Handling, Cookies und URL-Rewriting
vielleicht für dich interessant, besonders die Abschnitte URL-Rewriting + Sicherheitsprobleme im Zusammenhang mit Sessions

da gibts dann mindestens auch noch eine 3. Möglichkeit


----------



## Michoel (23. Mrz 2010)

Hi SlaterB,

schuldigung, ja der Apfel ist Rot. Ich meinte, dass es diese Sicherheitsvorkehrung gibt und nicht evtl. gäbe. 
Hab genau nämlich das Tutorial durchgelesen, welches zu empfohlen hast. Ich lasse mir aber das nochmal durch den Kopf gehen, bzw. lese es noch einmal durch. 

Einwenig klarer wird es mir aber. Es wendet praktisch das URL-Rewriting nur auf die Adressen an, die auf den Server zeigen, von dem das Script ausgeführt wird. Dann wäre es für mich logisch. 

Ich schau es mir wie gesagt noch einmal an, und falls etwas sein sollte, melde ich mich noch mal, was ich aber nicht denke. Ich hätte jedoch ein anderen kleines Problem, wo ich daran arbeite, dazu starte ich aber am besten einen neuen Thread, vielleicht könnte mir jemand dazu Tipps geben. 

Grüße und nochmals Danke
Michi


----------

