KASTGROUP SECURITY

secuweb.js

Security Solutions | IT Services | Coaching & Marketing | Research Live Demo

Übersicht

"Das JavaScript Plugin für einen optimalen Schutz Ihrer Kunden" LEISTUNGSÜBERSICHT
Attack Blocking

Mithilfe von Schadcode Mustererkennung stellt das JavaScript Plugin eine zusätzliche Schutzschicht vor eventuellen Angriffen auf die Kunden dar.

JavaScript Sandboxing

Das Blockieren von potentiell gefährlichen JavaScript Funktionen vermindert die Wahrscheinlichkeit der Korrumpierung einer Besuchersitzung.

Self-XSS Schutz

Das Warnen in der Entwicklerkonsole verhindert den fahrlässigen Gebrauch von Entwicklerfunktionen und kann somit Self-XSS unterbinden.

JS Plugin

Angriffe auf die Kunden mit dem Sandboxing des secuweb.js Plugin verhindern

Einfache Integrierung

Einfache Integrierung

Durch das Einfügen des von uns bereitgestellten HTML Code-Snippets in den Head-Tag einer Webseite, wird das Plugin direkt und sicher von unserem CDN Server in die Webseite geladen. Alternativ kann secuweb.js auch als lokale Instanz (herunterladbare Datei) auf einer Webseite ohne Server Installation eingebunden werden.

Sichere Anwendung

Sichere Anwendung

secuweb.js ist ein Javascript Plugin, das heisst es kann nicht auf das Backend (Entwicklerseite der Webseite), sondern nur auf das Frontend (Kundenseite der Webseite) zugreifen. Da das Javascript Plugin keinen Zugriff auf die Backend Webseite hat, ist es nicht möglich, dass durch diesen Service Hintergrundprozesse der Backend Webseite gestört werden. SecuWeb kann somit selbst keine Öffnung der Sicherheitskette verursachen.

Anonyme

Keine Nutzerdaten werden gesammelt

Wie in der Entwicklerkonsole zu sehen ist, sendet das secuweb.js Plugin Nutzerdaten weder an die KastGroup noch an irgendeine andere Webseite. Die einzige vorhandene URL wird benötigt, um den Lizenzschlüssel zu prüfen. Dies kann in der Entwicklerkonsole im Untermenü “Netzwerk” nachgesehen werden.

Funktionen

JavaScript SandboxingDie vielfältigen Funktionen von secuweb.js

JavaScript Sandboxing

Der secuweb.js Service stellt eine aktive Schutzschicht vor eventuellen Angriffen dar. Das Programm funktioniert mit einer Schadcode Mustererkennung und direkter Blockierung (Sandboxing) von potentiell gefährlichen JavaScript Funktionen wie zum Beispiel der Funktion “EVAL”, welche dafür sorgen kann, dass das ursprüngliche JavaScript einer Webseite durch Fremdcode verändert wird.

Die "EVAL" Funktion konvertiert einen String (Zeichenkette) zu ausführbarem Code, als wäre dies beabsichtigter JavaScript-Code. Diese Funktion erhöht somit die Anfälligkeit für Cross Site Scripting Attacks, welche auf der Kundenseite der Webseite stattfinden. Diese Methode ist sehr einfach auszuführen und verrichtet einen erheblichen Schaden.

Attack Blocking

Das Attack Blocking funktioniert, indem es Entwickler-Tools sperrt, um Manipulationen zu verhindern.
Durch eine explizite Warnung in der Entwicklerkonsole werden Benutzer vor Self-XSS gewarnt.

Bei einem Angriff, der Self-XSS genannt wird, werden Benutzer dazu verleitet, schädliche Inhalte zu kopieren und in die Webentwicklerkonsole ihres Browsers einzufügen.
In der Regel erhält der Benutzer (hier Benutzer 1 genannt) vom Angreifer eine Nachricht, die besagt, dass der Benutzer 1 durch Kopieren und Ausführen eines bestimmten Codes das Konto eines anderen Benutzers (Benutzer 2) hacken kann. Tatsächlich erlaubt der Code dem Angreifer, das Konto des Benutzers 1 zu übernehmen.

In der Vergangenheit kam es zu sehr ähnlichen Angriffen, bei denen Benutzer (Benutzer 1) dazu gebracht wurden, schädlichen JavaScript-Code in die Entwicklerkonsole einzufügen. Webbrowserentwickler haben Massnahmen getroffen, um diese Angriffe zu blockieren. Zum Beispiel haben Mozilla Firefox und Google Chrome mit der Implementierung von Sicherheitsvorkehrungen begonnen, um Benutzer vor eigenen XSS-Angriffen zu warnen. Facebook, einige Google Services und andere Webseiten zeigen unterdessen eine Warnmeldung an, wenn Benutzer die Webentwicklerkonsole öffnen.

Das Attack Blocking System des secuweb.js erhöht die Aufmerksamkeit der Kunden zur Verminderung der Selbstexponierung auf der besuchten Webseite. Wenn der Kunde nicht gewarnt wird, ist die Wahrscheinlichkeit hoch, dass der Kunde mittels Öffnung der Entwicklerkonsole die Eigengefahrenaussetzung erhöht. Der Kunde kann durch die Warnung von einem Einbau eines schädlichen Code-Fragments in die Entwicklerkonsole abgehalten werden. Dies senkt somit die Chance des Angreifers, die Session des Kunden zu hijacken.

KastGroup GmbH

The Power of Innovation

Anlässlich eines Kundenbesuches wurden neue Erweiterungswünsche aufgenommen und auch komplexe Anforderungen innert kürzester Frist umgesetzt. Wir sind sehr zufrieden...
Ivo Enderli
Head Group Risk Controlling & Security, LGT Group
Referenzen lesen