Abo
  • Services:
Anzeige
Eine Cross-Site-Scripting-Lücke steckt in einem weit verbreiteten PHP-Codebeispiel.
Eine Cross-Site-Scripting-Lücke steckt in einem weit verbreiteten PHP-Codebeispiel. (Bild: Screenshot)

jQuery: Cross-Site-Scripting in Captcha-Beispielcode weit verbreitet

Eine Cross-Site-Scripting-Lücke steckt in einem weit verbreiteten PHP-Codebeispiel.
Eine Cross-Site-Scripting-Lücke steckt in einem weit verbreiteten PHP-Codebeispiel. (Bild: Screenshot)

Ein populäres jQuery-Plugin liefert Code mit einer Cross-Site-Scripting-Lücke aus. Der verwundbare Code stammt ursprünglich von einem Beispielskript für Captchas, das auf sehr vielen Webseiten zu finden ist.

Anzeige

Der IT-Sicherheitsexperte Sijmen Ruwhof hat eine Cross-Site-Scripting-Lücke (XSS) in einem Beispielcode gefunden, der mit dem jQuery-Validation-Plugin mitgeliefert wird. Der Programmierer des Plugins hat zunächst nicht auf die Kontaktversuche von Ruwhof reagiert, und in der jüngsten Version des Plugins ist der entsprechende Code immer noch vorhanden. Eine Analyse des Problems ergab, dass die Lücke in einem Beispielcode für Captchas steckt, der auf vielen weiteren Webseiten zum Einsatz kommt. An den Entwickler des jQuery-Plugins wurde sie bereits 2011 gemeldet.

Ausgabe von ungefilterter Variable

Das Validation-Plugin für jQuery dient dazu, Benutzereingaben in Formularen clientseitig auf Korrektheit zu prüfen. In einem Unterverzeichnis befinden sich verschiedene Codebeispiele, darunter auch eines für eine Captcha-Eingabe. Zwar dürfte der Demo-Code von den wenigsten Anwendern verwendet werden, aber wer das Plugin installiert, wird vermutlich in der Regel auch die anderen mitgelieferten Dateien entpacken und nicht löschen. In der index.php-Datei des Captcha-Codes wird die Variable $_SERVER['PHP_SELF'] ungefiltert ausgegeben. Diese Variable enthält den Namen des aufgerufenen Skripts. Durch das direkte Anhängen von Javascript-Code an die URL hat man somit eine Cross-Site-Scripting-Lücke. Diese wiederum kann beispielsweise dazu genutzt werden, um Session-Cookies des Nutzers einer Webseite zu klauen, die das entsprechende Plugin installiert hat.

Ruwhof hatte die Lücke im August an den Entwickler des Validation-Plugins gemeldet und darauf keine Antwort erhalten. Auch weitere Kontaktversuche blieben erfolglos, im November wandte er sich direkt an das jQuery-Projekt. Auch dort erhielt er keine Antwort. Eine Suche ergab dann, dass bereits 2011 ein entsprechender Eintrag im Github-Bugtracker des Projekts erstellt wurde. Dort standen zwar keine Details zur Lücke, es ließ sich aber aus dem Kontext schließen, dass es wohl um dasselbe Problem ging. Der Entwickler des jQuery-Validation-Plugins schrieb dort, dass die Lücke keine große Sache sei und man den entsprechenden PHP-Beispielcode am besten entfernen sollte. Nur: Passiert ist das bis heute nicht. Auch die jüngste Version 1.13.1 liefert den entsprechenden Code noch mit.

Lücke bereits mehrfach entdeckt

Einen weiteren Hinweis auf die Lücke findet man in der Open Source Vulnerability Database (OSVDB). Dort wurde 2013 ein Eintrag erstellt. Offenbar wurde das Problem also schon mehrfach unabhängig voneinander gefunden. Ein Fix für die Lücke wurde jetzt, einige Stunden nach der Veröffentlichung von Ruwhof, im Github-Code des Validation-Plugins eingepflegt.

Doch das ganze Problem hat offenbar noch größere Ausmaße: Der verwundbare Code wurde nicht vom Autor des jQuery-Plugins selbst geschrieben, sondern offenbar von einer anderen Webseite übernommen. Die Webseite ist nicht mehr online, über Wayback Machine lässt sich jedoch eine alte Version der Seite samt Download-Möglichkeit für den Captcha-Code aufrufen. Dieser Beispielcode wurde offenbar nicht nur von dem fraglichen jQuery-Plugin übernommen. Ruwhof fand mittels Google einige tausend Webseiten mit dem entsprechenden Code.

Zuletzt suchte Ruwhof noch nach Codestücken, die in ähnlicher Weise direkt die Variable $_SERVER['PHP_SELF'] direkt an den Nutzer ausgaben. Diese Suche brachte hunderttausende Ergebnisse. Der PHP-Code von Webseiten ist üblicherweise nicht direkt sichtbar, daher handelt es sich bei den Fundstücken um Quellcodes oder Codebeispiele aus Foren. Es dürfte jedoch klar sein, dass ziemlich viele Seiten von Cross-Site-Scripting-Lücken dieser Art betroffen sind.

Chrome und Internet Explorer filtern Reflective XSS

Cross-Site-Scripting-Lücken sind in Webanwendungen weit verbreitet. Bei der hier vorgestellten Lücke handelt es sich um eine sogenannte Reflective-XSS-Lücke. Chrome und der Internet Explorer haben einen Filter für derartige Lücken, somit lässt sie sich dort nicht ausnutzen. In Firefox gibt es bislang keinen derartigen Filter. Eine generelle Schutzmaßnahme zur Vermeidung von Cross-Site-Scripting ist die Header Content-Security-Policy. Die wird aber bislang nur von wenigen Webseiten eingesetzt.


eye home zur Startseite
Jakelandiar 20. Nov 2014

Ok das könnte bei dummen usern gehen wo so ein link nicht auffällt. Aber bei solchen...

Patrick Bauer 20. Nov 2014

"Javascript ist seit HTML5 in allen Browsern gleich und hat die gleichen Methoden und...

violator 19. Nov 2014

Na dann sag das mal deinem Chef und dem Kunden, dass das alles länger dauert als bei...

rz70 19. Nov 2014

k.T.



Anzeige

Stellenmarkt
  1. MOBOTIX AG, Langmeil
  2. ADG Apotheken-Dienstleistungsgesellschaft mbH, Berlin
  3. Daimler AG, Böblingen
  4. Villeroy & Boch AG, Mettlach bei Saarbrücken / Merzig


Anzeige
Top-Angebote
  1. 25,68€ (Vorbesteller-Preisgarantie)
  2. 59,99€/69,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  2. Mehr dazu im aktuellen Whitepaper von Bitdefender
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Alternatives Android

    Cyanogen soll zahlreiche Mitarbeiter entlassen

  2. Update

    Onedrive erstellt automatisierte Alben und erkennt Pokémon

  3. Die Woche im Video

    Ausgesperrt, ausprobiert, ausgetüftelt

  4. 100 MBit/s

    Zusagen der Bundesnetzagentur drücken Preis für Vectoring

  5. Insolvenz

    Unister Holding mit 39 Millionen Euro verschuldet

  6. Radeons RX 480

    Die Designs von AMDs Partnern takten höher - und konstanter

  7. Koelnmesse

    Tagestickets für Gamescom ausverkauft

  8. Kluge Uhren

    Weltweiter Smartwatch-Markt bricht um ein Drittel ein

  9. Linux

    Nvidia ist bereit für einheitliche Wayland-Unterstützung

  10. Copyright

    Klage gegen US-Marine wegen 558.466-mal Softwarepiraterie



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Digitalisierung: Darf ich am Sabbat mit meinem Lautsprecher reden?
Digitalisierung
Darf ich am Sabbat mit meinem Lautsprecher reden?
  1. Smart City Der Bürger gestaltet mit
  2. Internetwirtschaft Das ist so was von 2006
  3. Das Internet der Menschen "Industrie 4.0 verbannt Menschen nicht aus Werkhallen"

Edward Snowden: Spezialhülle fürs iPhone warnt vor ungewollter Funkaktivität
Edward Snowden
Spezialhülle fürs iPhone warnt vor ungewollter Funkaktivität
  1. Qualcomm-Chips Android-Geräteverschlüsselung ist angreifbar
  2. Apple Nächstes iPhone soll keine Klinkenbuchse haben
  3. Smarte Hülle Android unter dem iPhone

Nuki Smart Lock im Test: Ausgesperrt statt aufgesperrt
Nuki Smart Lock im Test
Ausgesperrt statt aufgesperrt

  1. Re: Maxdome

    nmSteven | 14:54

  2. Re: Einnahmequellen?

    Ebola | 14:53

  3. Re: Das ist schlicht falsch

    Moe479 | 14:52

  4. Ab der kommerziellen Firma..

    SchmuseTigger | 14:51

  5. akute Zahlungsunfähigkeit

    mal_so | 14:44


  1. 14:19

  2. 13:08

  3. 09:01

  4. 18:26

  5. 18:00

  6. 17:00

  7. 16:29

  8. 16:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel