Kontakt
QR-Code für die aktuelle URL

Story Box-ID: 22536

Heise Gruppe GmbH & Co KG Karl-Wiechert-Allee 10 30625 Hannover, Deutschland http://www.heise-gruppe.de
Logo der Firma Heise Gruppe GmbH & Co KG
Heise Gruppe GmbH & Co KG

Cross Site Scripting ermöglicht Datendiebstahl

iX: Gefährliche Lücken in der Webprogrammierung

(PresseBox) (Hannover, )
[1] Auch sicherheitsbewusste Anwender sind nicht vor Datenklau gefeit. Bei so genannten Cross-Site-Scripting-Angriffen sind sie machtlos. Die Ursachen für die Attacken liegen in ehlerhaften Web-Applikationen. Durch sichere Programmierung, regelmäßige Überprüfungen sowie HTTP-Filter können Web-Verantwortliche aber adäquate Gegenmaßnahmen treffen, schreibt das IT-Profimagazin iX [2] in der Ausgabe 8/04.

Ein scheinbar harmloser Klick auf einen Hyperlink, und Cookies, Passwörter und Inhalte von Formularen können an einen Angreifer übermittelt werden. Selbst wenn der Link zu vertrauenswürdigen Seiten führt, kann man den Diebstahl von benutzerbezogenen Daten wie Kreditkarteninformationen nicht verhindern. Mit Cross-Site-Scripting- oder kurz XSS-Attacken "jubeln" Angreifer ahnungslosen Anwendern Java-Script-Code "unter", mit dem Cookies gestohlen oder Benutzereingaben mitgelesen werden.

Besonders beliebte Ziele für XSS-Angriffe sind Online-Shops, Mitarbeiterportale oder Internet-Banking. Eine XSS-Schwachstelle ist immer vorhanden, wenn zwei Bedingungen erfüllt sind: Zum einen, wenn der Programmierer der Webanwendung vergisst, aus dem übermittelten Parameter verdächtige Scriptbefehle unschädlich zu machen und zum anderen, wenn die Anwendung den Parameter auf einer anderen Webseite wieder ausgibt.

Dies geschieht beispielsweise bei einem Gästebuch, indem der Angreifer sich einträgt. Mit dem Aufruf dieses Eintrags lädt sich das Opfer den bösartigen JavaScript-Code auf seinen Rechner. Ähnlich verhält es sich bei Suchmaschinen, die den Suchbegriff auf der Ergebnisseite wieder ausgeben: "Ihre Suche nach XYZ ergab...". Hier schickt der Angreifer dem Opfer einfach einen Link auf die für XSS-anfällige Suchmaschine. Dieser enthält den Scriptcode als Suchbegriff. Bei der Darstellung der Suchbegriffe kommt der Code zur Ausführung.

Ein sicherer Schutz wäre das Deaktivieren aller Skripting-Funktionen. Als Empfehlung kann das jedoch nicht gelten, schließlich werden viele Webseiten dann nicht mehr korrekt dargestellt. Durch das Einspielen aktueller Patches kann man aber die Hürden für Angreifer erhöhen. Darüber hinaus helfen regelmäßige Sicherheitsüberprüfungen der Webanwendungen sowie neue Techniken wir HTTP-Filter gegen die tückischen Angriffe. (hb)

Bildmaterial: Das Titelbild der aktuellen iX-Ausgabe 8/2004 steht zum Download [3] bereit.

Links in diesem Artikel:
[1] http://www.heise-medien.de/...
[2] http://www.ix.de
[3] http://www.heise-medien.de/...

Heise Gruppe GmbH & Co KG

heise jobs ist die IT-Jobbörse unter dem Dach von heise online (www.heise.de [1]). Der renommierte Internet-Auftritt mit seinem umfangreichen News- und Service-Angebot ist täglicher Treffpunkt für Computerprofis und IT-Interessierte. Mit über 709.838 PageImpressions im Monat (IVW 04/08) gehört heise jobs zu den führenden IT-Jobbörsen Deutschlands. heise online zählt laut IVW zu den meistbesuchten deutschen Special-Interest-Angeboten.

Eingebunden in dieses kontaktstarke Medium bietet heise jobs Personalverantwortlichen die optimale Zielgruppe für die Mitarbeiterrekrutierung in den Bereichen Informationstechnologie und Telekommunikation.

Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.
Wichtiger Hinweis:

Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die unn | UNITED NEWS NETWORK GmbH gestattet.

unn | UNITED NEWS NETWORK GmbH 2002–2024, Alle Rechte vorbehalten

Für die oben stehenden Storys, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Titel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Texte sowie der angehängten Bild-, Ton- und Informationsmaterialien. Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.