Abo
  • IT-Karriere:

Cross-Site-Scripting: Javascript-Code in Bilder einbetten

Mittels eines Tricks lassen sich gültige GIF-Bilder erstellen, die Javascript-Code enthalten. Damit kann der Schutzmechanismus Content-Security-Policy ausgehebelt werden. Abhilfe schafft ein noch wenig verbreiteter HTTP-Header.

Artikel veröffentlicht am , Hanno Böck
Eine GIF-Datei mit eingebautem Javascript-Code
Eine GIF-Datei mit eingebautem Javascript-Code (Bild: Screenshot Golem.de)

Der IT-Sicherheitsspezialist Ajin Abraham hat eine Datei erzeugt, die einen gültigen GIF-Header enthält, aber gleichzeitig Javascript ausführt. Die Methode geht auf eine Idee von Ange Albertini zurück. Mit solchen manipulierten GIF-Dateien lässt sich unter bestimmten Umständen auch auf Webseiten, die mittels Content Security Policy (CSP) geschützt sind, bösartiger Javascript-Code ausführen.

Inhalt:
  1. Cross-Site-Scripting: Javascript-Code in Bilder einbetten
  2. X-Content-Type-Options: nosniff

Content Security Policy ist ein mächtiges Werkzeug, um Cross-Site-Scripting-Lücken (XSS) zu verhindern. Dabei wird ein Header gesetzt, der dem Browser mitteilt, von welchen Servern er Javascript ausführen darf. Setzt ein Webentwickler Content Security Policy korrekt ein, sollte damit eigentlich die Ausnutzung aller Cross-Site-Scripting-Lücken verhindert werden.

In vielen Fällen erlauben moderne Webanwendungen das Hochladen von Bildern. Gelingt es, in ein Bild Javascript-Code einzufügen, dann wird in so einem Fall der Schutz von CSP umgangen. Denn das Bild kommt ja vom selben Server, von dem auch der legitime Javascript-Code stammt.

Gleichzeitig GIF-Bild und Javascript-Code

Ein GIF-Bild beginnt mit der Zeichenkette GIF89a. Anschließend werden die Breite und die Höhe des Bildes gespeichert. Hier setzt der Trick von Albertini an: Für die Breite kann - völlig in Übereinstimmung mit dem GIF-Format - der Wert 0x2f2a eingetragen werden. Das entspricht einem Bild von 10.799 Pixeln Breite, gleichzeitig sind es aber auch die ASCII-Werte der Zeichenfolge /*, womit in Javascript ein Kommentar eingeleitet wird. Der Rest des GIF-Headers kann mit gültigen Werten gefüllt werden. Wird die Datei als Javascript interpretiert, werden diese Daten ignoriert, da es sich um einen Kommentar handelt.

Stellenmarkt
  1. Universität Stuttgart, Stuttgart
  2. Helmholtz-Zentrum Geesthacht Zentrum für Material- und Küstenforschung GmbH, Geesthacht

Am Ende des GIF-Bildes wird nun die Zeichenfolge */=1; eingefügt. Der Kommentar wird durch */ beendet und das =1; führt dazu, dass aus der GIF89a-Signatur vom Beginn der Datei ein gültiger Code wird. Javascript sieht nun folgenden Code:

GIF89a/*[Kommentar]*/=1;

Das wird fehlerfrei interpretiert, es wird lediglich der Variablen mit dem Namen GIF89a der Wert eins zugewiesen. Anschließend kann beliebiger weiterer Javascript-Code in die Datei eingefügt werden.

Der Vorteil dieser Methode: Selbst wenn ein Server beim Upload prüft, ob es sich bei einer hochgeladenen Datei tatsächlich um ein Bild handelt, wird sie vermutlich akzeptiert, denn sie enthält gültige GIF-Daten.

Javascript mit falschem MIME-Type

Das zugrundeliegende Problem ist letztendlich, dass Browser Javascript-Code auch dann ausführen, wenn sie mit dem falschen Dateityp gesendet werden. Bei der Dateiübertragung mittels HTTP wird vom Server im Header ein sogenannter MIME-Type mitgeschickt. Für Javascript lautet dieser beispielsweise application/x-javascript. Für ein GIF-Bild wiederum lautet der MIME-Type image/gif.

Da häufig Daten mit falschen MIME-Informationen ausgeliefert werden, gibt es in Browsern diverse Mechanismen, durch die fehlerhafte Angaben ignoriert werden. Der Browser versucht, die Daten trotz fehlerhaften MIME-Typs korrekt zu interpretieren. Wird eine Datei mittels <script src="[datei]"></script> eingefügt, wird sie als Javascript-Code ausgeführt, egal, mit welchem MIME-Type sie ausgeliefert wurde. Damit ein Angreifer den Code ausführen kann, benötigt er also immer noch eine Möglichkeit, eigenen HTML-Code in die Webseite einzufügen, also eine klassische XSS-Lücke auszulösen. Doch genau die Ausnutzung solcher Lücken sollte durch Content Security Policy ja verhindert werden.

X-Content-Type-Options: nosniff 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 114,99€ (Release am 5. Dezember)
  2. 107,00€ (Bestpreis!)
  3. täglich neue Deals bei Alternate.de
  4. 274,00€

hannob (golem.de) 04. Nov 2014

[...] Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die...

neustart 03. Nov 2014

Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will...

zZz 03. Nov 2014

Ich nutze seit geraumer Zeit die Server Configs aus dem HTML5 Boilerplate Paket und passe...

Anonymer Nutzer 03. Nov 2014

bei einem webmail könnte das zb der fall sein. dabei wird html code von unbekannter...


Folgen Sie uns
       


Timex Data Link ausprobiert

Die Data Link wurde von Timex und Microsoft entwickelt und ist eine der ersten Smartwatches. Anlässlich des 25-jährigen Jubiläums haben wir uns die Uhr genauer angeschaut - und über einen alten PC mit Röhrenmonitor programmiert.

Timex Data Link ausprobiert Video aufrufen
Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

LEDs: Schlimmes Flimmern
LEDs
Schlimmes Flimmern

LED-Licht zu Hause oder im Auto leuchtet nur selten völlig konstant. Je nach Frequenz und Intensität kann das Flimmern der Leuchtmittel problematisch sein, für manche Menschen sogar gesundheitsschädlich.
Von Wolfgang Messer

  1. Wissenschaft Schadet LED-Licht unseren Augen?
  2. Straßenbeleuchtung Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt
  3. ULED Ubiquitis Netzwerkleuchten bieten Wechselstromversorgung

    •  /