Thema: Cross-Site-Scripting-Schwachstellen auf zahlreichen Webseiten

[SiLæncer]

Dass Cross-Site-Scripting-Schwachstellen nicht nur ein Problem von unbekannteren Open-Source-Softwarepaketen ist, zeigt der Sicherheitsspezialist Michael Krax alias mikx. Anfang Dezember untersuchte er dutzende Webseiten großer Hersteller, Anbieter und Dienstleister. Innerhalb kürzester Zeit fand er 175 Seiten, die Benutzereingaben nicht ausreichend filterten, sodass in URLs eingeschleustes JavaScript im Browser des Anwenders ausgeführt wird.

Mit Cross-Site-Scripting (XSS) kann ein Angreifer nicht nur die Session-Cookies von Surfern stehlen, sondern auch die Inhalte von Seiten manipulieren. So ist er damit in der Lage, in Formulare eingegebene Daten auszulesen. Über fehlerhafte ActiveX-Controls ließe sich womöglich sogar das System eines Anwenders manipulieren. Der Autor weist darauf hin, dass XSS im Vergleich zu Sicherheitslücken durch Buffer Overflows weit weniger bedrohlich ist. Allerdings seien Cross-Site-Scripting-Schwachstellen im Internet sehr verbreitet und sehr leicht zu finden und auszunutzen.

Einige Web-Administratoren haben nach der Benachrichtigung durch Krax die Fehler innerhalb kürzester Zeit beseitigt, die Mehrzahl hat aber nicht reagiert. Krax hält auf seinen Seiten eine Liste der Proof-of-Concept-Links bereit, mit denen er die jeweiligen Seiten testete.

http://www.mikx.de/xss.php

Quelle : www.heise.de

[SiLæncer]

In seinem Blog weist Marcell Dietl darauf hin, dass das Sicherheitssiegel des TÜV keineswegs bedeutet, dass die betreffende Web-Seite vor Sicherheitsproblemen wie Cross Site Scripting gefeit sei. Viele Web-Shops werben mit den "Prüfsiegel" um Vertrauen, das die Firma TÜV Süd unter dem Label s@fer-shopping vertreibt; so zum Beispiel die Kaufhauskette Otto oder der Reiseveranstalter L'Tur. "Mit TÜV-geprüfter Qualität, Sicherheit und Transparenz ist XYZ.de in hohem Maße vertrauenswürdig" heißt es dann auf solchen Seiten.

Dietl wollte sich offenbar davon selbst überzeugen und untersuchte eine Reihe von Web-Seiten mit TÜV-Siegel auf XSS-Schwachstellen. Zwar bestätigt er, dass sie anscheinend "über eine bessere Sicherheit [..] verfügen als der Durchschnitt". So scheiterten einfache Methoden, HTML-Code einzuschleusen, zumeist an Filtern. Trotzdem gelang ihm das letztlich bei einer beeindruckenden Liste von Online-Auftritten, auf der sich neben den beiden bereits erwähnten unter anderen auch Polo und Karstadt-Quelle-Versicherungen finden.

Dietl griff dabei zu verfeinerten XSS-Techniken wie der, Code als Zahlenfolge an Filtern vorbei zu mogeln, und dann mittels String.fromCharCode() wieder zurückzuwandeln. In anderen Fällen nutzte er spezielle CSS-Style-Elemente. Bei Expedia und Flug.de deckte er eine Möglichkeit auf, Zugriffe auf beliebige Seiten umzuleiten, wodurch sich Links auf bösartige Seiten tarnen lassen (was natürlich durch den verbreiteten Einsatz von TinyURLs nicht mehr so relevant ist).

Quelle : www.heise.de

[SiLæncer]

Florian Gümbel, ein 19-jähriger Leser von heise online und heise Security, hat Schwachstellen auf über 150 namhaften Webseiten wie Bitkom.org, Buhl.de, Eco.de, Ferrari.com, KabelBW.de, Kicker.de, IHK.de, Wetter.de und Zurich.de entdeckt. Bei den Lücken handelt es sich um sogenannte Cross-Site-Scripting-Lücken (XSS), die ein Angreifer dazu nutzen kann, um eigenen Code in die verwundbaren Seiten einzuschleusen; etwa, um Zugangsdaten zu stehlen oder Schadcode zu verbreiten.

Außer der schieren Anzahl der verwundbaren Webseiten überrascht auch der Anteil der überregional bekannten und mutmaßlich gut besuchten Internet-Präsenzen – darunter:

authentidate.de, bauhaus.info, bbcgermany.de, bitkom.org, bose.de, br.de, buffalo-technology.com, buhl.de, cebit.de, cornelsen.de, douglas.de, dresden-airport.de, eco.de, epson.de, fh-koeln.de, flughafen-essen-muelheim.com, flughafenkassel.de, frankfurt-rhein-main.de, hagebau.de, hna.de, hyundai.de, ihk.de, kabelbw.de, kelloggs.de, kia.de, kicker.de, klinikum-kassel.de, koelnerzoo.de, koelnmesse.de, landesmuseum.de, leipziger-messe.de, loewe.tv, mannheimer.de, memorex.com, messe-erfurt.de, moebel.de, msi.com, nuance.de, pixum.de, radiobremen.de, randomhouse.de, ravensburger.de, region-muenchen.de, sachsen.de, schlecker.com, seagate.com, semperoper.de, stabilo.com, store.ferrari.com, subaru.de, total.de, uhu.com, uni-bremen.de, uniklinikum-leipzig.de, vox.de, wetter.de, wirecard.de, zurich.de

Dabei ist Cross-Site-Scripting bei weitem kein neues Phänomen: heise Security berichtete bereits im Jahr 2003 ausführlich über daraus resultierende Gefahren. Unser Leser hat nach eigenen Angaben rund 12 Stunden gebraucht, um die uns vorliegende Liste mit verwundbaren Seiten zusammenzustellen.

Auf der Webseite der Zurich-Versicherung können
Angreifer beliebigen Code einschleusen. Das Login-
Formular wurde von einem externen Server
eingebunden.

Wir haben daraufhin die Betreiber zahlreicher Webseiten über das Sicherheitsproblem informiert. Die Betreiber der übrigen Seiten hat Florian Gümbel nach eigenen Angaben selbst kontaktiert. Damit stießen wir nicht in allen Fällen auf Interesse: Während etwa die Lücke bei Buhl Data noch am gleichen Tag geschlossen wurde, blieb unsere Anfrage an die Zurich-Versicherung auch nach zwei Wochen noch unbeantwortet – die Lücke ist nach wie vor vorhanden. In den meisten Fällen haben wir keine Antwort erhalten, in einigen Fällen wurden die Lücken immerhin trotzdem geschlossen; so geschehen etwa beim Zertifizierungsdienst AuthentiDate.

Als Internetnutzer kann man etwa durch die Firefox-Erweiterung NoScript vor durch XSS eingeschleustem Code schützen. Auch Google Chrome und die aktuelle Version des Internet Explorer bieten recht zuverlässige XSS-Filter.

Quelle : www.heise.de