Javascript-Malware - XSS-Lücken werden gefährlicher

Michael Ott zeigt XSS-Lücken in 10 Websites auf. Der IT-Sicherheits-Spezialist WhiteHat Security warnt vor neuen Angriffsmethoden auf Unternehmensnetze durch Cross-Site-Scripting-Lücken (XSS) in Webapplikationen. Auf diesem Wege lassen sich beispielsweise Portscans interner Netze durchführen oder Router und Firewalls neu konfigurieren warnt das Unternehmen.

31. Juli 2006 um 11:00 Uhr / Jens Ihlenfeld

25 Kommentare News folgen (öffnet im neuen Fenster)

Jeremiah Grossman, Gründer und CTO von WhiteHat Security, will die Gefahren in einem Vortrag auf der Sicherheitskonferenz BlackHat USA 2006 am 3. August 2006 in Las Vegas erläutern. Der Vortrag läuft unter dem Titel "JavaScript Malware Just Got a lot More Dangerous". Grossman will darin zeigen, wie Angreifer XSS-Lücken ausnutzen können, um die Kontrolle über einen Webbrowser zu erlangen und mit dessen Hilfe Unternehmensnetze zu kompromittieren.

Derweil weist hier zu Lande Michael Ott in seinem Blog(öffnet im neuen Fenster) auf XSS-Lücken in vielen Webseiten hin. Auf diesem Wege lässt sich beispielsweise mit Hilfe präparierter URLs fremder Code in Webseiten einschleusen. Besucher merken dabei kaum, dass einzelne Teile, z.B. Formulare, gar nicht vom Betreiber der Webseite stammen und Informationen an Dritte übermitteln. Ott zeigt XSS-Lücken in zehn zum Teil prominenten Webseiten.

Zur Startseite 25 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

BeA: So geht es mit dem Anwaltspostfach weiter

Darf eine Webseite erkennen, ob ein Nutzer Anwalt ist? Und braucht es eine Ende-zu-Ende-Verschlüsselung? Auf dem BeAthon hat die Bundesrechtsanwaltskammer über die Zukunft des von Sicherheitsproblemen geplagten Anwaltspostfachs BeA diskutiert - und will es bald wieder aktivieren.

BeA: Bundesrechtsanwaltskammer stellt Zahlungen an Atos ein

Der Softwaredienstleister Atos und damit indirekt auch dessen Partner Governikus werden laut Medienberichten von der Bundesrechtsanwaltskammer nicht mehr für das Besondere elektronische Anwaltspostfach bezahlt. Die mit Sicherheitsproblemen behaftete Lösung für Anwälte soll umfassend geprüft werden.

BeA: Noch mehr Sicherheitslücken im Anwaltspostfach

Das besondere elektronische Anwaltspostfach hat mehr als nur eine Sicherheitslücke. Die Probleme reichen von einer falschen Ende-zu-Ende-Verschlüsselung über Cross Site Scripting bis hin zu ROBOT und veralteten Java-Libraries. Dabei hat die Firma SEC Consult einen Sicherheitsaudit durchgeführt.

Relevante Themen