Anzeige
Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen.
Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen. (Bild: Checkpoint)

JSFuck: Esoterischer Javascript-Stil ermöglicht XSS bei Ebay

Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen.
Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen. (Bild: Checkpoint)

Die XSS-Filter von Ebay lassen sich mit Hilfe eines zu Lernzwecken erstellten Javascript-Stils überlisten, um fremden Code auszuführen. Ebay will den Fehler nur halbherzig beheben. Der Entwickler von JSFuck zeigte sich im Gespräch mit Golem.de überrascht von dem Szenario.

Die Sicherheitsfirma Checkpoint hat heute, Dienstag, ein Angriffsszenario vorgestellt, mit dem Händler auf Ebay ihren Kunden bösartigen Javascript-Code unterschieben könnten, um damit Phishing-Angriffe oder andere Aktionen auszuführen. Das Problem liegt in der Art und Weise, wie Ebay aktive Code-Elemente prüft - und in einem esoterischen Programmierstil für Javascript.

Anzeige

"Mit dem Ebay-Angriff können Cyberkriminelle Nutzer auf einfache Art ins Visier nehmen: Sie führen den Angriff aus, indem sie einen Link zu einem hochattraktiven Produkt senden. Die hauptsächliche Bedrohung sind die Verbreitung von Malware und das illegale Kopieren persönlicher Informationen", sagte Oded Vanunu, Leiter der Sicherheitsforschungsgruppe bei Checkpoint, im Gespräch mit Golem.de.

Die Sicherheitsforscher von Checkpoint haben für ihren theoretischen Angriff JSFuck benutzt. Mit JSFuck können Javascript-Befehle mit Hilfe von nur sechs verschiedenen Symbolen dargestellt werden. Diese sind !, [, ], +, (, und ). Das False-Kommando wird zu ![], die Ziffer 10 zu [+!+[]]+[+[]]. Eine vollständige Liste findet sich bei Github. Auf der Webseite von JSFuck kann bestehender Code mit Hilfe eines Tools einfach umgewandelt werden. Mit diesem umgewandelten Code konnten die Forscher dann bösartigen Javascript-Code von einem von ihnen kontrollierten Server laden - und könnten damit zum Beispiel Phishing-Angriffe mit Overlay-Fenstern durchführen. Der Angriff soll auf dem Desktop, aber auch in den Ebay-Apps für Android und iOS funktionieren.

JSFuck war nur als Hobbyprojekt gedacht

Das Projekt wird auf der Webseite als esoterischer Programmierstil bezeichnet, der nur zu Schulungszwecken und aus Spaß am Herumprobieren entwickelt wurde. Initiator Martin Kleppe sagte im Gespräch mit Golem.de: "Mit JSFuck wollte ich eigentlich nur zeigen, dass Javascript mit nur sehr wenigen unterschiedlichen Zeichen geschrieben werden kann." Kleppe zeigte sich überrascht darüber, dass mit JSFuck konvertierter Javascript-Code jetzt eingesetzt wurde, um die Entdeckung aktiver Elemente durch XSS-Filter zu umgehen.
Mit Hilfe von JSFuck haben die Sicherheitsforscher von Checkpoint nach eigenen Angaben Javascript-Code erzeugt, der von Ebays Filtermechanismen nicht entdeckt wird. Normalerweise zeigt der Online-Händler eine Fehlermeldung an, wenn Javascript-Elemente im HTML-Code der Händlerseite eingefügt werden. Checkpoint gibt an, Ebay bereits im Dezember auf die Untersuchungsergebnisse hingewiesen zu haben. Die beschrieben Sicherheitslücke wurde gefixt, eine generelle Abkehr von "aktive Inhalte" soll es jedoch nicht geben. Nach Veröffentlichung des Blogposts habe Ebay aber nun die zu Testzwecken angelegten Testkonten gesperrt, sagte ein Checkpoint-Vertreter im Gespräch mit Golem.de.

Nachtrag vom 4. Februar 2016, 9:26 Uhr

Ebay hat sich mittlerweile zu dem Vorfall geäußert. In einem von Ars Technica veröffentlichten Statement schreibt das Unternehmen: "Wir waren mit den Forschern in Kontakt und haben verschiedene, auf ihren Untersuchungsergebnissen basierende Filter installiert, die diesen Exploit entdecken würden." Nicht näher spezifizierten "aktiven Content" solle es aber auch weiterhin auf Ebay geben - Sicherheitsvorfälle damit würde es äußerst selten geben, schreibt das Unternehmen. Wir haben den Text an die neue Sachlage angepasst.


eye home zur Startseite
My1 15. Feb 2016

rainbow table ist durchaus schön aber wenn man 4 zufällige worte aus einer bekannten 2048...

My1 15. Feb 2016

JSFuck basiert auf der sehr laxen automatischen Typenumwandlung was es halt erlaubt das...

cpt.dirk 12. Feb 2016

Dazu ist niemand verpflichtet, es können sehr einfach Skripte je externer Domain separat...

crazypsycho 05. Feb 2016

Das script-Tag rauszufiltern ist technisch auf Serverseite überhaupt kein Problem. PHP...

crazypsycho 03. Feb 2016

Das mit bgcolor könnte man ja noch mit abwärtskompatiblität zu Uralt-Browser erklären...

Kommentieren



Anzeige

  1. Leiter (m/w) Produktmanagement Traffic Software
    PTV GROUP, Karlsruhe
  2. IT-Mitarbeiter / innen fachlich-technische Dienstleistungen
    Landeshauptstadt München, München
  3. Kundenberater (m/w) Apotheken-IT
    ADG Apotheken-Dienstleistungsgesellschaft mbH, Hamburg
  4. Softwareentwickler (m/w) Java/C#
    D.O.M. Datenverarbeitung GmbH, Nürnberg

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Charm

    Samsungs Fitness-Tracker mit langer Laufzeit kostet 30 Euro

  2. Nach Kritik

    Pornhub überarbeitet sein Bounty-Programm

  3. Forschung

    Forcephone macht jedes Smartphone Force-Touch-tauglich

  4. Unity

    Jobplattform für Entwickler und neues Preismodell

  5. Internetzugang

    Deutsche Telekom entschuldigt sich vergeblich bei Bushido

  6. Basistunnel

    Bestens vernetzt durch den Gotthard

  7. Kniterate

    Der Maker lässt stricken

  8. Maker Faire Hannover 2016

    Denkt denn keiner an die Kinder? Doch, alle!

  9. Sampling

    Hip-Hop bleibt erlaubt

  10. Tubeninja

    Youtube fordert Streamripper zur Schließung auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
GPD XD im Test: Zwischen Nintendo 3DS und PS Vita ist noch Platz
GPD XD im Test
Zwischen Nintendo 3DS und PS Vita ist noch Platz
  1. Gran Turismo Sport Ein Bündnis mit der Realität
  2. Xbox Scorpio Schneller als Playstation Neo und mit Rift-Unterstützung
  3. AMD Drei Konsolen-Chips für 2017 angekündigt

Xperia X im Hands on: Sonys vorgetäuschte Oberklasse
Xperia X im Hands on
Sonys vorgetäuschte Oberklasse
  1. Die Woche im Video Die Schoko-Burger-Woche bei Golem.de - mmhhhh!
  2. Android 6.0 Ein großer Haufen Marshmallow für Samsung und Co.
  3. Google Android N erscheint auch für Nicht-Nexus-Smartphones

Oracle vs. Google: Wie man Geschworene am besten verwirrt
Oracle vs. Google
Wie man Geschworene am besten verwirrt
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie viel Fair Use steckt in 11.000 Codezeilen?

  1. Re: Jetzt stelle sich mal jemand vor...

    M.P. | 16:01

  2. Re: Was für ein verstörender Artikel

    Moe479 | 16:00

  3. Re: Und was ist in dem Pulver drin?

    JanZmus | 16:00

  4. Re: Xiaomi Mi Band

    Atrocity | 15:59

  5. Re: Und wo genau ist jetzt die News?

    widardd | 15:57


  1. 15:40

  2. 14:13

  3. 13:50

  4. 13:10

  5. 12:29

  6. 12:04

  7. 11:49

  8. 11:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel