Guten Abend!

Was genau passiert beim Session-Riding?

Als Session (Sitzung) bezeichnet man den Zeitraum zwischen zwei Ereignissen, bei dem eine Reihe mehr oder weniger zusammenhängender Aktionen durchgeführt werden. Die abgrenzenden Ereignisse können die An- (Login) und Abmeldung (Logout) bei einem Dienst sein, die zusammenhängenden Aktionen können das Aufrufen Deiner Kundendaten, das Ansehen einer Produktseite und das Aufrufen, Ausfüllen und Absenden der Bestellung sein.

Was genau passiert beim Session-Riding?

Stell' Dir vor, Du hast Dich gerade auf den Webseiten des Auktionshauses Müller mit Name und Passwort eingeloggt, weil Du die von Dir beobachteten Auktionen durchgucken wolltest.
Nachdem das erledigt ist, blätterst Du noch ein wenig durch das restliche Angebot und stößt dabei auf einer Seite über ein interessantes, nur leider zu kleines Foto mit dem Text "Zum Vergrößern anklicken". Machst Du natürlich, aber statt eine Vergrößerung zu öffnen, lautet die dahintersteckende URL "bieten.cgi?artikel=1234;hoehe=10000". bieten.cgi ist die Seite bzw. das Skript, das ein Gebot für einen Artikel annimmt und ohne weitere Nachfrage ausführt.

Weil Du nach wie vor eingeloggt bist, hat ein pöser Pube es in dieser Sekunde geschafft, Dir ein Gebot in Höhe von 10000 € für die gammelige Waschmaschine zu entlocken, die unter Artikelnummer 1234 angeboten wird.

Das ist Session-Riding. Andere Leute reiten auf Deiner Sitzung und nutzen sie als Vehikel für ihre Aktionen, indem sie Dir entsprechende URLs unterjubeln.