Was sind Hidden-Fields?
Webentwickler können Hidden-Fields (deutsch „versteckte Felder“) in Formulare einer Webseite einbauen, der Browser ignoriert diese und Seitenbesucher sehen die Felder nicht. „<input type=”hidden”>“ ist die HTML-Kennzeichnung für ein verstecktes Feld. Hidden-Fields eignen sich zum Übertragen zusätzlicher Informationen an den Server. Solch ein verstecktes Feld kann beispielsweise der internen Zuordnung und Verarbeitung von Formularen dienen.
Welche Gefahr geht von Hidden-Fields aus?
Werte in einem Hidden-Field sind manipulierbar und die Manipulation nutzen Cyberkriminelle für Angriffe auf die geschützten Daten einer Webseite. Die versteckten Felder sind über den Quelltext einer Webseite einsehbar. So lassen sich die Namen der Hidden-Fields leicht herausfinden und bei Formularen mit GET-Methode kann der Übergabestring einfach manuell zusammengebaut werden. Arbeitet die Webseite mit Formularen mit POST-Methode, speichert der Angreifer einfach die gesamte HTML-Seite ab und verändert die gewünschten Werte im Quellcode.
Ein Beispiel: Angenommen ein Onlineshop speichert Informationen über Produkte in Hidden-Fields, wie:
~
<input type="hidden" id="1008" name="cost" value="70.00">
~
In dem Beispiel könnte ein Angreifer den Wert in „value“ verändern und so die Kosten für den Einkauf senken.
Worauf müssen Entwickler achten?
Da die Werte der Hidden-Fields von außen manipuliert werden können, dürfen Entwickler sich nicht auf die Angaben in den Feldern verlassen. Zum Beispiel nutzt die Angriffsmethode Web Parameter Tampering die Schwachstelle aus.