Ich habe mal wieder eine WebSite gefunden, die angeblich neu ist und wo trotzdem an jeder Ecke Sicherheitlücken zu finden sind. Der Relaunch betrifft wohl nur das Design, aber nicht die Qualität der Programmierung…

Nach wie vor glaube ich das die XSS-Problematik unterschätzt wird, was ich auch aus den ausbleibenden Reaktionen der Gruppe-120 schließe. Die WebSite-Betreiber schauen sich die üblichen Beispiele an, bei denen nur eine Alert-Box per JavaScript eingeblendet wird, in der dann z.B. “Sie sind angreifbar” erscheint und glauben wohl das damit schon alle Möglichkeiten erschöpft sind. “Der Besucher sieht das, also wo soll das Problem sein?” Sie verstehen nicht das man damit auch Sachen anstellen kann die nicht sofort bemerkt werden, wo der User eben nicht merkt das da etwas unlauteres im Hintergrund abläuft.


"><a href=http://hackers-website.tld><h1 style=font-size:18px;color:red>Kostenlose SMS SOFORT!!</h1></a><span "

Dies Beispiel ist zwar so subtil wie eine Kakalake auf einem weißen Teppich, aber trotzdem würden sicher einige auf den Link klicken, um kostenlose SMS abzustauben.




" onfocus="alert('Bitte verlassen Sie diese WebSite!\n\nSie könnten Opfer von Hackern werden!');

Hier erscheint die Meldung in dem Moment in dem man in das Eingabefeld für die E-Mail-Adresse klickt um diese einzutippen. Man beachte das “https://www.”, viele User fühlen sich alleine dadurch schon sicherer wenn sie nur dies sehen, wobei sie nicht wissen das damit nur die Übertragung der Daten verschlüsselt wird, aber die WebSite selber trotzdem genauso unsicher sein kann wie wie jede anderer Seite.

Man kann den Besucher natürlich auch gleich auf eine ganz andere WebSite entführen:

" onfocus="location.replace('http://hackers-website.tld');"><span "



Nur drei Beispiele von unzähligen Möglichkeiten die JavaScript bereit hält. Einen kleinen Eindruck von der JavaScript-Funktionalität bekommt man recht schnell, wenn man einfach mal JavaScript deaktiviert und im Netz surft. Viele WebSites funktionieren ohne JavaScript einfach nicht mehr oder nur sehr eingeschränkt und all diese Features hat der Hacker an der Hand, wenn XSS und damit auch JavaScript möglich ist.

Auch hier habe ich den Betreiber angemailt, diesmal mit entsprechenden Beispielen, nicht nur mit dem üblichen “Sie sind angreifbar”-Alert. Vielleicht versteht er dann eher wie gefährlich solche Lücken sein können, denn nur wenige aus der Gruppe-120 wurden bisher aktiv und haben zumindest das von mir genannte Loch geschlossen.