Gefährliche Lücken in der Webprogrammierung

22. Juli 2004, 11:15
2 Postings

Cross Site Scripting ermöglicht Datendiebstahl

Auch sicherheitsbewusste Anwender sind nicht vor Datenklau gefeit. Bei so genannten Cross-Site-Scripting-Angriffen sind sie machtlos. Die Ursachen für die Attacken liegen in ehlerhaften Web-Applikationen. Durch sichere Programmierung, regelmäßige Überprüfungen sowie HTTP-Filter können Web-Verantwortliche aber adäquate Gegenmaßnahmen treffen, schreibt das IT-Magazin iX in seiner aktuellen Ausgabe.

Ein harmloser Klick

Ein scheinbar harmloser Klick auf einen Hyperlink, und Cookies, Passwörter und Inhalte von Formularen können an einen Angreifer übermittelt werden. Selbst wenn der Link zu vertrauenswürdigen Seiten führt, kann man den Diebstahl von benutzerbezogenen Daten wie Kreditkarteninformationen nicht verhindern. Mit Cross-Site-Scripting- oder kurz XSS-Attacken "jubeln" Angreifer ahnungslosen Anwendern Java-Script-Code "unter", mit dem Cookies gestohlen oder Benutzereingaben mitgelesen werden.

XSS-Angriffe sind Online-Shops

Besonders beliebte Ziele für XSS-Angriffe sind Online-Shops, Mitarbeiterportale oder Internet-Banking. Eine XSS-Schwachstelle ist immer vorhanden, wenn zwei Bedingungen erfüllt sind: Zum einen, wenn der Programmierer der Webanwendung vergisst, aus dem übermittelten Parameter verdächtige Scriptbefehle unschädlich zu machen und zum anderen, wenn die Anwendung den Parameter auf einer anderen Webseite wieder ausgibt.

Bösartiger JavaScript-Code

Dies geschieht beispielsweise bei einem Gästebuch, indem der Angreifer sich einträgt. Mit dem Aufruf dieses Eintrags lädt sich das Opfer den bösartigen JavaScript-Code auf seinen Rechner. Ähnlich verhält es sich bei Suchmaschinen, die den Suchbegriff auf der Ergebnisseite wieder ausgeben: "Ihre Suche nach XYZ ergab...". Hier schickt der Angreifer dem Opfer einfach einen Link auf die für XSS-anfällige Suchmaschine. Dieser enthält den Scriptcode als Suchbegriff. Bei der Darstellung der Suchbegriffe kommt der Code zur Ausführung.

Schutz

Ein sicherer Schutz wäre das Deaktivieren aller Skripting-Funktionen. Als Empfehlung kann das jedoch nicht gelten, schließlich werden viele Webseiten dann nicht mehr korrekt dargestellt. Durch das Einspielen aktueller Patches kann man aber die Hürden für Angreifer erhöhen. Darüber hinaus helfen regelmäßige Sicherheitsüberprüfungen der Webanwendungen sowie neue Techniken wir HTTP-Filter gegen die tückischen Angriffe. (red)

Link

iX

Share if you care.