Cross-Site-Scripting (XSS) ist eine Methode, mit der Sicherheitslücken in Webanwendungen ausgenutzt werden, die dazu führen, dass bei dynamisch generiertem Inhalt keine ausreichende Prüfung stattfindet, ob es sich dabei um ein Skript handelt.
Betroffen sind hiervon alle dynamischen Websites, unabhängig davon, ob sie mit PHP, ASP.NET, Perl oder einer anderen Technologie erstellt wurden. Anders als bei einer SQL-Injection-Attacke muss die Website nicht mit einer Datenbank ausgestattet sein.
Man unterscheidet zwischen persistentem und nicht persistentem Angriff. Ein nicht persistenter Angriff kann ausgeführt werden, wenn eine Website eine Benutzereingabe wiederholt. Einfach verständlich wird das am Beispiel einer Shopping-Site. Dort sucht ein Anwender nach dem Begriff „Kaffeemaschine“. Als Antwort sieht er auf der Seite unter anderem den Text „Ihre Suche nach Kaffeemaschine ergab 8 Treffer“. Das eingegebene Wort „Kaffeemaschine“ wird also von der Webanwendung wiederholt.
Gibt der Benutzer als Suchbegriff „<script>[bösartiges Skript]</script>“ ein, dann muss die Website zumindest die spitzen Klammern ignorieren oder durch die nötigen HTML-Escape-Sequenzen < und > darstellen, andernfalls wird das bösartige Skript auf dem Rechner des Benutzers ausgeführt.
Entdeckt ein Angreifer eine Website mit einer derartigen Sicherheitslücke, so besteht die Schwierigkeit, ein Opfer davon überzeugen, nach einem entsprechenden Begriff zu suchen. Dies geschieht meist mittels Spam-Mails mit Links, die als eine Sonderform des Phishing angesehen werden können.
Grundsätzlich können Angreifer auch Mails mit Links auf eigene Websites verschicken, die schädliche Skripts enthalten. Wenn jedoch die angegriffene Website einen User-Log-in ermöglicht, so kann der vom Benutzer selbst eingefügte Schadcode das Session-Cookie an den Angreifer schicken. Dieser hat nun die Möglichkeit unter dem fremden Account auf der Website zu agieren.
Begehrtes Ziel sind wie bei der SQL-Injection-Attacke die Nutzerpasswörter. Oft ist es möglich, über die Passwortänderungsfunktion an das Passwort zu kommen. Das Passwort wird zwar meist verdeckt dargestellt, befindet sich jedoch häufig im HTML-Quelltext als Input-Feld vom Typ Hidden. Die Funktion „Ansicht – Quelltext anzeigen“ im Browser reicht aus, um das Passwort sehen zu können.
Wesentlich hinterhältiger sind persistente XSS-Angriffe. Den überwiegenden Anteil der angreifbaren Websites machen Diskussionsforen, Blogs und Bewertungsportale aus. Betroffen sind Websites, die es ihren Usern ermöglichen, HTML-formatierten Text einzugeben. Angreifer versehen ihre meist provozierenden oder kontroversen Beiträge mit Javascript-Code.
Es reicht aus, einen solchen Beitrag anzusehen, damit der schädliche Code auf dem eigenen Rechner ausgeführt wird. Neben dem Identitätsdiebstahl eignet sich diese Form des Angriffs insbesondere auch für die Einschleusung von Malware auf den Rechner des Betrachters.
Generell anfällig für jede Art von Cross-Site-Scripting sind Webseiten, die von relativ unerfahrenen Programmierern erstellt werden. Typischerweise sind Websites betroffen, die Internethändler von kleinen Agenturen erstellen lassen. Es existiert meist nicht genug Know-how, die Webseiten sicher vor XSS-Angriffen zu machen.
Eine Auswertung aller Angriffstypen von Mitre im Januar 2007 hat ergeben, dass XSS-Angriffe mittlerweile häufiger verwendet werden als die Ausnutzung von Pufferüberläufen. Das ist nicht weiter verwunderlich, denn die Anbieter von Betriebssystemen und Webservern haben in den letzten Jahren viel Zeit und Geld investiert, Fehler durch Pufferüberläufe zu beheben. XSS-Angriffe werden nicht durch das Betriebssystem oder die Serversoftware ermöglicht, sondern durch Unachtsamkeit der Webentwickler.
So dürfte für Cyberkriminelle klar sein, dass es wesentlich einfacher ist, einen technischen Wettlauf gegen kleine Webagenturen mit PHP-Programmierern zu gewinnen als gegen Microsoft, Novell und Red Hat. Mitres Schätzungen zufolge sind 70 Prozent aller dynamischen Websites anfällig für XSS-Angriffe.
Neueste Kommentare
Noch keine Kommentare zu Neue Kriminalitätswelle: Angriff auf mittelständische Websites
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.