Beiträge vom 19. September 2009

Cross-Site Scripting: 90 Prozent sind möglich!

Samstag, 19. September 2009, 15:55 Uhr | Autor:

Unternehmen setzen bei Sicherheits-Updates die Prioritäten falsch” (heise.de)

60 Prozent aller Attacken im Internet richten sich mittlerweile gegen Webserver, um etwa SQL-Injection zu finden und auszunutzen. Mehr als 80 Prozent aller Lücken in Servern entfallen auf SQL-Injection- und Cross-Site-Scripting-Lücken.

Dies hatte ich bereits im letzten Eintrag zitiert und etwas zu Unisters Shopping.de geschrieben. Auf deren Seite findet man unter “Portfolio” in 7 Kategorien insgesamt 21 Websites.

Ich konnte es natürlich nicht lassen… ;O)

Alle Seiten, zwei sind bis auf die Sprache identisch (deutsch/englisch), habe ich mir kurz angeschaut und innerhalb von Sekunden, maximal ein oder zwei Minuten, XSS-Lücken gefunden. In 18 der 20 verschiedenen Seiten gab es Treffer, was eine Quote von 90 Prozent ergibt – kein schlechter Wert!

Rund 7 Millionen Internetnutzer besuchen monatlich die Webseiten im Portfolio der Unister GmbH.



Sieben deutsche Hersteller gründen Interessengemeinschaft “ECM jetzt!”” (zdnet.de)

Hier habe ich mir ebenfalls die Websites der sieben Initiatoren angeschaut. Fünf XSS-Treffer bedeuten aber nicht zwingend, dass auch in deren Software ähnliche Lücken zu finden sind, da für deren Websites sicher nicht die gleichen Leute verantwortlich sind, wie für deren ECM-Systeme.

(Enterprise-Content-Management (de.wikipedia.org))

In wie weit deren Software auch ans Internet angebunden ist, kann ich nicht sagen. Man kann wohl davon ausgehen, dass es mittlerweile üblich ist, Daten über das Netz auszutauschen bzw. zur Verfügung zu stellen. Der Zugriff für Admins bzw. User wird wohl auch in vielen Fällen über das Internet möglich sein.


Was macht ein Angreifer mit einer XSS-Lücke?

Ein Bildchen einfügen? “25C3: NPD-Webseiten fest in Hackerhand” (heise.de)

Ganz bestimmt nicht!


Wie wird die Authentifizierung von Admins/Usern verwaltet? I.d.R per Cookie.

Mit JavaScript und document.cookie (de.selfhtml.org) kann man diese auslesen.

Ein Angreifer injiziert ein Stück Code, der ihm den Inhalt des Cookies übermittelt, wobei das Opfer von dem Cookieklau nichts mitbekommt. Mit Kenntnis des Cookies kann nun der Angreifer in den fremden Account eindringen, was unter Session Hijacking (de.wikipedia.org) bekannt ist.

Genau dies ist ein reales Angriffsszenario!

Was ist daran so schwer zu verstehen?

Thema: Sicherheit, XSS | Kommentare geschlossen