Anzeige
Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr.
Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr. (Bild: Usenix-Paper)

Websicherheit: Datenleck durch dynamische Skripte

Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr.
Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr. (Bild: Usenix-Paper)

Moderne Webseiten erstellen häufig dynamischen Javascript-Code. Wenn darin private Daten enthalten sind, können fremde Webseiten diese auslesen. Bei einer Untersuchung von Sicherheitsforschern war ein Drittel der untersuchten Webseiten von diesem Problem betroffen.

Anzeige

Eine neue Variante sogenannter Cross-Site-Scripting-Inclusion-Sicherheitslücken (XSSI) haben Sicherheitsforscher auf der Black Hat Amsterdam präsentiert. Viele Webseiten erstellen dynamischen Javascript-Code, der sensible Daten enthält. Das ist keine gute Idee: Wird Javascript-Code von einer fremden Webseite eingebunden, wird dieser in dem gleichen Kontext ausgeführt. Dadurch lassen sich die dort enthaltenen Daten in den meisten Fällen auslesen. Sebastian Lekies von der Universität Bochum, Ben Stock von der Universität des Saarlandes und Martin Johns, Sicherheitsforscher bei SAP, fanden zahlreiche populäre Webseiten, die von diesem Problem betroffen sind.

Frühere Lücken durch Browser-Quirks möglich

Schon 2006 wurde eine ähnlich gelagerte Sicherheitslücke in Gmail entdeckt. Auf der Gmail-Domain war bei eingeloggten Nutzern eine JSON-Datei abrufbar, deren Inhalt das Adressbuch des Nutzers enthielt. Dank der Same-Origin-Policy von Javascript kann ein fremdes Skript derartige Daten nicht direkt auslesen. Allerdings war es möglich, diese JSON-Datei als Javascript-Code so einzubinden, dass die Daten als gültiger Javascript-Array interpretiert wurden.

Derartige Lücken waren in der Vergangenheit jedoch nur möglich, weil die Webbrowser manchmal sehr tolerant im Interpretieren von Daten sind. So sehen Browser oft über Syntaxfehler in Dateien hinweg und akzeptieren diese auch, wenn sie mit dem falschen MIME-Type gesendet werden. Die in der Vergangenheit entdeckten Lücken führten dazu, dass die Browser weniger tolerant bei der Interpretation von Javascript-Code wurden.

Javascript-Code verrät Daten

Anders verhält sich die Sache, wenn sich sensible Daten direkt im Javascript-Code befinden. Erzeugt eine Webseite Javascript-Code, der in Variablen sensible Daten enthält - das können private Informationen wie Adressen und Telefonnummern sein, aber auch Tokens zum Schutz vor Cross-Site-Request-Forgery-Angriffen -, dann kann eine andere Webseite diesen Code völlig korrekt einbinden. Die jeweiligen Cookies des Nutzers werden dabei mitübertragen, somit wird der dynamisch erzeugte Code im Kontext einer fremden Webseite ausgeführt. In den meisten Fällen ist es dann für diese Webseite möglich, die dort enthaltenen Daten auszulesen.

Trivial ist das Auslesen, wenn sich die privaten Daten in globalen Variablen befinden. Aber auch wenn die Daten nur in lokalen Variablen in Funktionen enthalten sind, gibt es zahlreiche Wege, an die Daten zu gelangen. Insgesamt fanden die beteiligten Forscher fünf Wege, um entsprechende Daten auszulesen.

Browserplugin hilft bei Analyse

Das Problem ist offenbar weit verbreitet. Ein Browserplugin half bei der Untersuchung von Webseiten. Dieses Plugin prüfte bei allen in einer Webseite eingebundenen Javascript-Dateien, ob diese unterschiedlich sind, wenn man sie jeweils mit und ohne Cookies abruft. Insgesamt prüften die Forscher 150 populäre Webdienste, bei denen man sich mit Accounts anmelden muss. Davon waren insgesamt 49 Webseiten von dem Problem betroffen. Auf 34 Seiten waren eindeutige Identifizierungsmerkmale des Accounts zu finden, die beispielsweise zum Tracking missbraucht werden könnten. Persönliche Daten wie beispielsweise Telefonnummern oder Adressen fanden sich auf 15 Seiten, Tokens, die vor Cross-Site-Request-Forgery-Angriffen (CSRF) schützen sollten, fanden sich auf sieben Seiten.

In den meisten Fällen waren diese Seiten für Angriffe verwundbar, bei einigen wenigen Seiten wurde dies jedoch verhindert, weil die URL des jeweiligen Skripts auch dynamisch erstellt wurde und somit ein potenzieller Angreifer diese URL nicht weiß. Es handelte sich dabei aber vermutlich nicht um eine bewusste Schutzmaßnahme vor diesem Angriff, sondern um reinen Zufall.

E-Mails lesen und auf Facebook-Seite posten

Bei einer News-Webseite fanden die Forscher zusätzlich eine Cross-Site-Scripting-Lücke. Diese ließ sich allerdings nicht direkt ausnutzen, da das entsprechende Formular mittels eines CSRF-Tokens geschützt war und somit nur von dem Nutzer selbst ausgelöst werden konnte. Doch der CSRF-Token befand sich im Javascript-Code. Somit könnte ein Angreifer zunächst die Cross-Site-Scripting-Lücke mit dem ausgelesenen Token ausnutzen. Anschließend war es möglich, die Funktionalität der News-Seite zum Posten auf der Facebook-Seite auszulösen.

Bei einem E-Mail-Anbieter fanden sich die kompletten Inhalte der E-Mails im dynamischen Javascript-Code. Eine bösartige Webseite könnte also die Mails mitlesen. Bei einem Filehosting-Anbieter ließ sich ein Authentifizierungstoken auslesen, mit dem sich sämtliche Aktionen innerhalb des jeweiligen Webinterfaces auslösen ließen.

Namen der betroffenen Seiten nannten die Forscher nicht. Sie hatten nach eigenen Angaben die Betreiber informiert, von ihnen jedoch keine Reaktion erhalten. Die Seiten sind somit nach wie vor verwundbar.

Als Schutzmaßnahme könnten derartige Skripte theoretisch die Referrer-URL prüfen. Das sei jedoch, so die Vortragenden, eher fehleranfällig. Auch wäre es möglich, den dynamischen Javascript-Code nur auszugeben, wenn ein geheimer Token in der URL übergeben wird.

Nicht möglich sind derartige Angriffe auch, wenn der dynamisch erzeugte Javascript-Code nicht aus einer eigenen Datei eingebunden wird, sondern wenn Inline-Javascript genutzt wird. Doch Inline-Javascript verträgt sich schlecht mit einer Technologie namens Content Security Policy. Dieses Verfahren schützt sehr effektiv vor Cross-Site-Scripting-Lücken. Die weitere Verbreitung von Content Security Policy könnte also dazu führen, dass derartige Sicherheitslücken bei der Einbindung von dynamischen Skripten in Zukunft noch zunehmen.

Code und Daten trennen

Die beste Schutzmaßnahme vor derartigen Sicherheitslücken ist, komplett auf dynamisch generierten Code zu verzichten. Private Daten sollten schlicht nicht Teil des Javascript-Codes sein. Eine klare Trennung zwischen Code und Daten würde derartige Angriffe komplett verhindern.

Ein Hintergrundpapier zu den Angriffen wurde auf der Usenix-Konferenz im August veröffentlicht.


eye home zur Startseite
Xiut 16. Nov 2015

Dieser Teil ist echt gefährlich, wenn man nicht genauere Informationen und Umstände...

Geistesgegenwart 15. Nov 2015

Nö. Der Gag ist ja gerade das du durch einbinden eines Elements JavaScript (!= JSON...

Kommentieren



Anzeige

  1. Projektmanager (m/w) Einführung und Optimierung ERP-System
    über SCHLAGHECK RADTKE OLDIGES GMBH executive consultants, Nordrhein-Westfalen
  2. Softwareentwickler für sicherheitsgerichtete Systeme in der Intralogistik (m/w)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
  3. Teamleiter (m/w) IT-Support
    Bühler Motor GmbH, Nürnberg
  4. IT Project Manager Microsoft SharePoint (m/w)
    Infoman AG, Stuttgart

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Pixel-Smartphone

    Google soll an komplett eigenem Smartphone arbeiten

  2. Prozessor

    Den einen Core M gibt es nicht

  3. Intel Security

    Intel will McAfee verkaufen

  4. Le Eco

    Faraday Future plant autonomes Elektroauto

  5. Petition gegen Apple

    300.000 wehren sich gegen Ende der iPhone-Kopfhörerbuchse

  6. Battlefield 1 angespielt

    Zeppeline, Sperrfeuer und die Wiedergeburts-Spritze

  7. Förderung

    Telekom räumt ein, dass Fiber-To-The-Home billiger sein kann

  8. Procter & Gamble

    Windel meldet dem Smartphone, wenn sie voll ist

  9. AVM

    Routerfreiheit bringt Kabel-TV per WLAN auf mobile Geräte

  10. Oculus App

    Vive-Besitzer können wieder Rift-exklusive Titel spielen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IT und Energiewende: Fragen und Antworten zu intelligenten Stromzählern
IT und Energiewende
Fragen und Antworten zu intelligenten Stromzählern
  1. Intelligente Stromzähler Besitzern von Solaranlagen droht ebenfalls Zwangsanschluss
  2. Smart-Meter-Gateway-Anhörung Stromsparen geht auch anders
  3. Zwangsbeglückung Vernetzte Stromzähler könnten Verbraucher noch mehr kosten

Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

Zelda Breath of the Wild angespielt: Das Versprechen von 1986 wird eingelöst
Zelda Breath of the Wild angespielt
Das Versprechen von 1986 wird eingelöst

  1. Habe ich was verpasst?

    holysmoke | 09:40

  2. Re: Dann kauft halt kein iPhone!

    der_wahre_hannes | 09:39

  3. Re: Klinke Buchse alt? Nein!

    wasabi | 09:39

  4. Re: Gibts nicht auch 2,5mm Klinke?

    Klausens | 09:38

  5. Bluetooth muss standard werden!

    christi1992 | 09:37


  1. 09:10

  2. 09:00

  3. 08:51

  4. 07:30

  5. 07:14

  6. 15:00

  7. 10:36

  8. 09:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel