Anzeige
Eine GIF-Datei mit eingebautem Javascript-Code
Eine GIF-Datei mit eingebautem Javascript-Code (Bild: Screenshot Golem.de)

Cross-Site-Scripting: Javascript-Code in Bilder einbetten

Eine GIF-Datei mit eingebautem Javascript-Code
Eine GIF-Datei mit eingebautem Javascript-Code (Bild: Screenshot Golem.de)

Mittels eines Tricks lassen sich gültige GIF-Bilder erstellen, die Javascript-Code enthalten. Damit kann der Schutzmechanismus Content-Security-Policy ausgehebelt werden. Abhilfe schafft ein noch wenig verbreiteter HTTP-Header.

Anzeige

Der IT-Sicherheitsspezialist Ajin Abraham hat eine Datei erzeugt, die einen gültigen GIF-Header enthält, aber gleichzeitig Javascript ausführt. Die Methode geht auf eine Idee von Ange Albertini zurück. Mit solchen manipulierten GIF-Dateien lässt sich unter bestimmten Umständen auch auf Webseiten, die mittels Content Security Policy (CSP) geschützt sind, bösartiger Javascript-Code ausführen.

Content Security Policy ist ein mächtiges Werkzeug, um Cross-Site-Scripting-Lücken (XSS) zu verhindern. Dabei wird ein Header gesetzt, der dem Browser mitteilt, von welchen Servern er Javascript ausführen darf. Setzt ein Webentwickler Content Security Policy korrekt ein, sollte damit eigentlich die Ausnutzung aller Cross-Site-Scripting-Lücken verhindert werden.

In vielen Fällen erlauben moderne Webanwendungen das Hochladen von Bildern. Gelingt es, in ein Bild Javascript-Code einzufügen, dann wird in so einem Fall der Schutz von CSP umgangen. Denn das Bild kommt ja vom selben Server, von dem auch der legitime Javascript-Code stammt.

Gleichzeitig GIF-Bild und Javascript-Code

Ein GIF-Bild beginnt mit der Zeichenkette GIF89a. Anschließend werden die Breite und die Höhe des Bildes gespeichert. Hier setzt der Trick von Albertini an: Für die Breite kann - völlig in Übereinstimmung mit dem GIF-Format - der Wert 0x2f2a eingetragen werden. Das entspricht einem Bild von 10.799 Pixeln Breite, gleichzeitig sind es aber auch die ASCII-Werte der Zeichenfolge /*, womit in Javascript ein Kommentar eingeleitet wird. Der Rest des GIF-Headers kann mit gültigen Werten gefüllt werden. Wird die Datei als Javascript interpretiert, werden diese Daten ignoriert, da es sich um einen Kommentar handelt.

Am Ende des GIF-Bildes wird nun die Zeichenfolge */=1; eingefügt. Der Kommentar wird durch */ beendet und das =1; führt dazu, dass aus der GIF89a-Signatur vom Beginn der Datei ein gültiger Code wird. Javascript sieht nun folgenden Code:

GIF89a/*[Kommentar]*/=1;

Das wird fehlerfrei interpretiert, es wird lediglich der Variablen mit dem Namen GIF89a der Wert eins zugewiesen. Anschließend kann beliebiger weiterer Javascript-Code in die Datei eingefügt werden.

Der Vorteil dieser Methode: Selbst wenn ein Server beim Upload prüft, ob es sich bei einer hochgeladenen Datei tatsächlich um ein Bild handelt, wird sie vermutlich akzeptiert, denn sie enthält gültige GIF-Daten.

Javascript mit falschem MIME-Type

Das zugrundeliegende Problem ist letztendlich, dass Browser Javascript-Code auch dann ausführen, wenn sie mit dem falschen Dateityp gesendet werden. Bei der Dateiübertragung mittels HTTP wird vom Server im Header ein sogenannter MIME-Type mitgeschickt. Für Javascript lautet dieser beispielsweise application/x-javascript. Für ein GIF-Bild wiederum lautet der MIME-Type image/gif.

Da häufig Daten mit falschen MIME-Informationen ausgeliefert werden, gibt es in Browsern diverse Mechanismen, durch die fehlerhafte Angaben ignoriert werden. Der Browser versucht, die Daten trotz fehlerhaften MIME-Typs korrekt zu interpretieren. Wird eine Datei mittels <script src="[datei]"></script> eingefügt, wird sie als Javascript-Code ausgeführt, egal, mit welchem MIME-Type sie ausgeliefert wurde. Damit ein Angreifer den Code ausführen kann, benötigt er also immer noch eine Möglichkeit, eigenen HTML-Code in die Webseite einzufügen, also eine klassische XSS-Lücke auszulösen. Doch genau die Ausnutzung solcher Lücken sollte durch Content Security Policy ja verhindert werden.

X-Content-Type-Options: nosniff 

eye home zur Startseite
hannob (golem.de) 04. Nov 2014

[...] Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die...

neustart 03. Nov 2014

Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will...

zZz 03. Nov 2014

Ich nutze seit geraumer Zeit die Server Configs aus dem HTML5 Boilerplate Paket und passe...

bjs 03. Nov 2014

bei einem webmail könnte das zb der fall sein. dabei wird html code von unbekannter...

Kommentieren



Anzeige

  1. Softwareentwickler (m/w) Automatisierung
    Rasco GmbH, Kolbermoor Raum Rosenheim
  2. Graduate Research Assistant / Research Associate (m/w) at the Chair of Complex and Intelligent Systems
    Universität Passau, Passau
  3. Projektleiter/in - Frontend, Backend
    Bosch Engineering GmbH, Abstatt
  4. Prozess- und Systemgestalter im Bereich IT AfterSales (m/w)
    Daimler AG, Neu-Ulm

Detailsuche



Anzeige
Top-Angebote
  1. NEU: Steam-Sommer-Sale
    (u. a. NBA2K16 9,99€, Doom 35,99€, Fallout 4 29,99€, CS GO 6,99€, Rise of the Tomb Raider...
  2. NEU: Telltale-Spiele bei GOG bis zu 75 Prozent günstiger
    (u. a. Game of Thrones 6,99€)
  3. Erste Custom-Designs der GTX 1070 im Zulauf
    (u. a. MSI Gaming X 8G, Evga ACX 3.0, Gainward Phoenix GS, Gigabyte G1 Gaming uvm.)

Weitere Angebote


Folgen Sie uns
       


  1. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme

  2. FTTH/FTTB

    Oberirdische Glasfaser spart 85 Prozent der Kosten

  3. Botnet

    Necurs kommt zurück und bringt Locky millionenfach mit

  4. Google

    Livestreaming direkt aus der Youtube-App

  5. Autonome Autos

    Fahrer wollen vor allem ihr eigenes Leben schützen

  6. Boston Dynamics

    Spot Mini, die Roboraffe

  7. Datenrate

    Tele Columbus versorgt fast 840.000 Haushalte mit 400 MBit/s

  8. Supercomputer

    China und Japan setzen auf ARM-Kerne für kommende Systeme

  9. Patent

    Die springenden Icons von Apple

  10. Counter-Strike

    Klage gegen Wetten mit Waffen-Skins



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Mirror's Edge Catalyst im Test Rennen für die Freiheit
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. MCreator für Arduino Mit Klötzchen LEDs steuern
  2. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften
  3. Minecraft Befehlsblöcke und Mods für die Pocket Edition

Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

  1. Re: Ist doch korrekt

    M.Kessel | 02:45

  2. Re: Okay, morgen gehts los, 2019 sind wir fertig...

    jacki | 02:44

  3. Re: nein Danke

    M.Kessel | 02:32

  4. Re: Whitelisting ist nicht verboten

    M.Kessel | 02:25

  5. Re: Wieso schaffen es andere?

    glasen77 | 02:17


  1. 17:47

  2. 17:01

  3. 16:46

  4. 15:51

  5. 15:48

  6. 15:40

  7. 14:58

  8. 14:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel