igor - Fotolia

F

Cross Site Scripting: Das sollten Unternehmen über die Schwachstellen wissen

Über Stored-XSS-Lücken können Angreifer großen Schaden anrichten. Wie entstehen diese Schwachstellen und wie können Unternehmen sich schützen?

Cross Site Scripting, kurz XSS, ist ein Angriff auf Web-Applikationen, der bösartigen Code in verwundbare Applikationen injiziert. Dabei geht es nicht um die Applikation selbst, das Hauptziel eines XSS-Angriffs sind die Accounts oder die Nutzer, die die App verwenden wollen. Es gibt verschiedene XSS-Angriffe, darunter Stored oder Reflective. In diesem Beitrag gehen wir im Detail auf die Stored XSS ein. Ein Exploit, wie es etwa von VMware kürzlich im ESXi Hypervisor entdeckt und geschlossen wurde.

In einem Stored XSS existiert eine Methode namens Persistent XSS. Dabei versucht ein Angreifer, sein Exploit permanent in die Applikation zu integrieren. Gegenüber einer Reflected XSS Attacke hat dies den Vorteil, dass das Opfer nicht auf einen Link zu einer verwundbaren App klicken muss.

Ein permanentes XSS Exploit bedeutet, dass die attackierte Web-Applikation modifiziert werden kann, um automatisch eine Software, etwa einen Browser, zu attackieren und ohne Interaktion des Nutzers einen Angriff zu starten. Das Stored XSS ist nicht Teil der Applikation, lädt aber jedes Mal, wenn ein Nutzer mit der Anwendung interagiert. Gegenüber einer Reflective XSS sind die Stored XSS deutlich seltener, allerdings sind sie auch um einiges gefährlicher. Findet ein Angreifer eine wichtige Applikation, die häufig genutzt wird, kann er eine Menge Schaden anrichten.

Ein Beispiel für einen Stored XSS ist eine Applikation, etwa ein Forum oder ein Blog, die es Nutzern erlaubt, Eingaben im System zu hinterlegen, die vom System allerdings nicht ausreichend im Hinblick auf Code bereinigt werden. Dadurch kann ein Angreifer bösartige Skripte einspeisen, die dann etwa in den Kommentaren angezeigt werden. Scrollt dann ein Nutzer durch die Seite, führt der Browser das hinterlegte Skript aus, ohne dass der Nutzer gezielt darauf klickt.

Das geschieht normalerweise durch JavaScript-Code, die auf einer externen Seite gehostet werden. Sobald das Skript erstellt ist, können die Angreifer verschiedene Payloads nachladen und ausführen. Ab diesem Moment arbeiten sie zudem im Rechtekontext des jeweiligen Anwenders. Wenn also ein Admin auf die Seite klickt, können Kriminelle dessen Rechte nutzen und sich Zugang zum Backend der jeweiligen Applikation verschaffen.

Danach steht es dem Angreifer größtenteils frei, was sie mit den Zugängen machen. Im Fall des VMware ESXi erlaubte das Stored XSS den Diebstahl der administrativen Zugangsdaten. Mit diesen Informationen konnten sich die Angreifer in der kompletten ESXi-Umgebung bewegen, virtuelle Systeme kontrollieren oder sogar neue virtuelle Maschinen anlegen.

Stored-XSS-Schwachstellen abwehren

Bei der Abwehr dieser Schwachstellen sind Nutzer wie Entwickler gleichermaßen gefragt. Letztere sind im Grunde für die Stored-XSS-Lücken verantwortlich; gute Code-Richtlinien und Schwachstellen-Scans können verhindern, dass sich solche Verwundbarkeiten einschleichen.

Leider lassen sich die Lücken nicht komplett vermeiden, deswegen sind auch die Nutzer gefragt. Sie können sich schützen, indem sie etwa das Ausführen fremder Skripte verbieten. Browser-Plug-ins wie NoScript helfen gegen solche XSS-Exploits, sie müssen aber zugleich regelmäßig trainiert und angepasst werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Nächste Schritte

Browsersicherheit: Angriff auf HTTPS per HEIST

Wie macht sich eine neue Verschleierungstechnik für Malware HTML5 zunutze?

Die Sicherheit von Webanwendungen erhöhen

Microsoft Project Springfield: Fuzz Testing als Cloud-Dienst

Artikel wurde zuletzt im April 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Sicherheit von Webanwendungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close