Ein scheinbar harmloser Klick auf einen Hyperlink, und Cookies, Passwörter und Inhalte von Formularen können an einen Angreifer übermittelt werden. Selbst wenn der Link zu vertrauenswürdigen Seiten führt, kann man den Diebstahl von benutzerbezogenen Daten wie Kreditkarteninformationen nicht verhindern. Mit Cross-Site-Scripting- oder kurz XSS-Attacken "jubeln" Angreifer ahnungslosen Anwendern Java-Script-Code "unter", mit dem Cookies gestohlen oder Benutzereingaben mitgelesen werden.
Besonders beliebte Ziele für XSS-Angriffe sind Online-Shops, Mitarbeiterportale oder Internet-Banking. Eine XSS-Schwachstelle ist immer vorhanden, wenn zwei Bedingungen erfüllt sind: Zum einen, wenn der Programmierer der Webanwendung vergisst, aus dem übermittelten Parameter verdächtige Scriptbefehle unschädlich zu machen und zum anderen, wenn die Anwendung den Parameter auf einer anderen Webseite wieder ausgibt.
Dies geschieht beispielsweise bei einem Gästebuch, indem der Angreifer sich einträgt. Mit dem Aufruf dieses Eintrags lädt sich das Opfer den bösartigen JavaScript-Code auf seinen Rechner. Ähnlich verhält es sich bei Suchmaschinen, die den Suchbegriff auf der Ergebnisseite wieder ausgeben: "Ihre Suche nach XYZ ergab...". Hier schickt der Angreifer dem Opfer einfach einen Link auf die für XSS-anfällige Suchmaschine. Dieser enthält den Scriptcode als Suchbegriff. Bei der Darstellung der Suchbegriffe kommt der Code zur Ausführung.
Ein sicherer Schutz wäre das Deaktivieren aller Skripting-Funktionen. Als Empfehlung kann das jedoch nicht gelten, schließlich werden viele Webseiten dann nicht mehr korrekt dargestellt. Durch das Einspielen aktueller Patches kann man aber die Hürden für Angreifer erhöhen. Darüber hinaus helfen regelmäßige Sicherheitsüberprüfungen der Webanwendungen sowie neue Techniken wir HTTP-Filter gegen die tückischen Angriffe. (hb)
Bildmaterial: Das Titelbild der aktuellen iX-Ausgabe 8/2004 steht zum Download [3] bereit.
Links in diesem Artikel:
[1] http://www.heise-medien.de/...
[2] http://www.ix.de
[3] http://www.heise-medien.de/...