Abo
  • Services:
Anzeige
Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr.
Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr. (Bild: Usenix-Paper)

Websicherheit: Datenleck durch dynamische Skripte

Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr.
Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr. (Bild: Usenix-Paper)

Moderne Webseiten erstellen häufig dynamischen Javascript-Code. Wenn darin private Daten enthalten sind, können fremde Webseiten diese auslesen. Bei einer Untersuchung von Sicherheitsforschern war ein Drittel der untersuchten Webseiten von diesem Problem betroffen.

Anzeige

Eine neue Variante sogenannter Cross-Site-Scripting-Inclusion-Sicherheitslücken (XSSI) haben Sicherheitsforscher auf der Black Hat Amsterdam präsentiert. Viele Webseiten erstellen dynamischen Javascript-Code, der sensible Daten enthält. Das ist keine gute Idee: Wird Javascript-Code von einer fremden Webseite eingebunden, wird dieser in dem gleichen Kontext ausgeführt. Dadurch lassen sich die dort enthaltenen Daten in den meisten Fällen auslesen. Sebastian Lekies von der Universität Bochum, Ben Stock von der Universität des Saarlandes und Martin Johns, Sicherheitsforscher bei SAP, fanden zahlreiche populäre Webseiten, die von diesem Problem betroffen sind.

Frühere Lücken durch Browser-Quirks möglich

Schon 2006 wurde eine ähnlich gelagerte Sicherheitslücke in Gmail entdeckt. Auf der Gmail-Domain war bei eingeloggten Nutzern eine JSON-Datei abrufbar, deren Inhalt das Adressbuch des Nutzers enthielt. Dank der Same-Origin-Policy von Javascript kann ein fremdes Skript derartige Daten nicht direkt auslesen. Allerdings war es möglich, diese JSON-Datei als Javascript-Code so einzubinden, dass die Daten als gültiger Javascript-Array interpretiert wurden.

Derartige Lücken waren in der Vergangenheit jedoch nur möglich, weil die Webbrowser manchmal sehr tolerant im Interpretieren von Daten sind. So sehen Browser oft über Syntaxfehler in Dateien hinweg und akzeptieren diese auch, wenn sie mit dem falschen MIME-Type gesendet werden. Die in der Vergangenheit entdeckten Lücken führten dazu, dass die Browser weniger tolerant bei der Interpretation von Javascript-Code wurden.

Javascript-Code verrät Daten

Anders verhält sich die Sache, wenn sich sensible Daten direkt im Javascript-Code befinden. Erzeugt eine Webseite Javascript-Code, der in Variablen sensible Daten enthält - das können private Informationen wie Adressen und Telefonnummern sein, aber auch Tokens zum Schutz vor Cross-Site-Request-Forgery-Angriffen -, dann kann eine andere Webseite diesen Code völlig korrekt einbinden. Die jeweiligen Cookies des Nutzers werden dabei mitübertragen, somit wird der dynamisch erzeugte Code im Kontext einer fremden Webseite ausgeführt. In den meisten Fällen ist es dann für diese Webseite möglich, die dort enthaltenen Daten auszulesen.

Trivial ist das Auslesen, wenn sich die privaten Daten in globalen Variablen befinden. Aber auch wenn die Daten nur in lokalen Variablen in Funktionen enthalten sind, gibt es zahlreiche Wege, an die Daten zu gelangen. Insgesamt fanden die beteiligten Forscher fünf Wege, um entsprechende Daten auszulesen.

Browserplugin hilft bei Analyse

Das Problem ist offenbar weit verbreitet. Ein Browserplugin half bei der Untersuchung von Webseiten. Dieses Plugin prüfte bei allen in einer Webseite eingebundenen Javascript-Dateien, ob diese unterschiedlich sind, wenn man sie jeweils mit und ohne Cookies abruft. Insgesamt prüften die Forscher 150 populäre Webdienste, bei denen man sich mit Accounts anmelden muss. Davon waren insgesamt 49 Webseiten von dem Problem betroffen. Auf 34 Seiten waren eindeutige Identifizierungsmerkmale des Accounts zu finden, die beispielsweise zum Tracking missbraucht werden könnten. Persönliche Daten wie beispielsweise Telefonnummern oder Adressen fanden sich auf 15 Seiten, Tokens, die vor Cross-Site-Request-Forgery-Angriffen (CSRF) schützen sollten, fanden sich auf sieben Seiten.

In den meisten Fällen waren diese Seiten für Angriffe verwundbar, bei einigen wenigen Seiten wurde dies jedoch verhindert, weil die URL des jeweiligen Skripts auch dynamisch erstellt wurde und somit ein potenzieller Angreifer diese URL nicht weiß. Es handelte sich dabei aber vermutlich nicht um eine bewusste Schutzmaßnahme vor diesem Angriff, sondern um reinen Zufall.

E-Mails lesen und auf Facebook-Seite posten

Bei einer News-Webseite fanden die Forscher zusätzlich eine Cross-Site-Scripting-Lücke. Diese ließ sich allerdings nicht direkt ausnutzen, da das entsprechende Formular mittels eines CSRF-Tokens geschützt war und somit nur von dem Nutzer selbst ausgelöst werden konnte. Doch der CSRF-Token befand sich im Javascript-Code. Somit könnte ein Angreifer zunächst die Cross-Site-Scripting-Lücke mit dem ausgelesenen Token ausnutzen. Anschließend war es möglich, die Funktionalität der News-Seite zum Posten auf der Facebook-Seite auszulösen.

Bei einem E-Mail-Anbieter fanden sich die kompletten Inhalte der E-Mails im dynamischen Javascript-Code. Eine bösartige Webseite könnte also die Mails mitlesen. Bei einem Filehosting-Anbieter ließ sich ein Authentifizierungstoken auslesen, mit dem sich sämtliche Aktionen innerhalb des jeweiligen Webinterfaces auslösen ließen.

Namen der betroffenen Seiten nannten die Forscher nicht. Sie hatten nach eigenen Angaben die Betreiber informiert, von ihnen jedoch keine Reaktion erhalten. Die Seiten sind somit nach wie vor verwundbar.

Als Schutzmaßnahme könnten derartige Skripte theoretisch die Referrer-URL prüfen. Das sei jedoch, so die Vortragenden, eher fehleranfällig. Auch wäre es möglich, den dynamischen Javascript-Code nur auszugeben, wenn ein geheimer Token in der URL übergeben wird.

Nicht möglich sind derartige Angriffe auch, wenn der dynamisch erzeugte Javascript-Code nicht aus einer eigenen Datei eingebunden wird, sondern wenn Inline-Javascript genutzt wird. Doch Inline-Javascript verträgt sich schlecht mit einer Technologie namens Content Security Policy. Dieses Verfahren schützt sehr effektiv vor Cross-Site-Scripting-Lücken. Die weitere Verbreitung von Content Security Policy könnte also dazu führen, dass derartige Sicherheitslücken bei der Einbindung von dynamischen Skripten in Zukunft noch zunehmen.

Code und Daten trennen

Die beste Schutzmaßnahme vor derartigen Sicherheitslücken ist, komplett auf dynamisch generierten Code zu verzichten. Private Daten sollten schlicht nicht Teil des Javascript-Codes sein. Eine klare Trennung zwischen Code und Daten würde derartige Angriffe komplett verhindern.

Ein Hintergrundpapier zu den Angriffen wurde auf der Usenix-Konferenz im August veröffentlicht.


eye home zur Startseite
Xiut 16. Nov 2015

Dieser Teil ist echt gefährlich, wenn man nicht genauere Informationen und Umstände...

Geistesgegenwart 15. Nov 2015

Nö. Der Gag ist ja gerade das du durch einbinden eines Elements JavaScript (!= JSON...



Anzeige

Stellenmarkt
  1. Syna GmbH, Frankfurt am Main
  2. über Jobware Personalberatung, Home Office und München
  3. über Hanseatisches Personalkontor München, Großraum München
  4. T-Systems International GmbH, Darmstadt, Mülheim an der Ruhr, München, Saarbrücken, Berlin


Anzeige
Top-Angebote
  1. 368,99€
  2. 680,54€
  3. (alle Angebote versandkostenfrei, u. a. Medion Erazer X7843 17.3"-Gaming-Notebook mit i7-6820HK...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Digitale Assistenten

    LG hat für das G6 mit Google und Amazon verhandelt

  2. Instant Tethering

    Googles automatischer WLAN-Hotspot

  3. 5G-Mobilfunk

    Netzbetreiber erhalten Hilfe bei Suche nach Funkmastplätzen

  4. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  5. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  6. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  7. Funkchips

    Apple klagt gegen Qualcomm

  8. Die Woche im Video

    B/ow the Wh:st/e!

  9. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  10. TLS-Zertifikate

    Symantec verpeilt es schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button
  1. Online-Einkauf Amazon startet virtuelle Dash-Buttons

Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. US-Präsident Zuck it, Trump!
  2. Fake News Für Facebook wird es hässlich
  3. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. DACBerry One Soundkarte für Raspberry Pi liefert Töne digital und analog
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  3. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel

  1. Re: Es wird immer was vergessen

    1ras | 21:21

  2. Re: WPS?

    David64Bit | 20:47

  3. Re: Why not both?

    Siberian Husky | 20:39

  4. Re: 1. Juli 2017

    FZ00 | 20:38

  5. einfaches failsave mit dem Home-WLAN...

    jude | 20:37


  1. 11:29

  2. 10:37

  3. 10:04

  4. 16:49

  5. 14:09

  6. 12:44

  7. 11:21

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel