Abo
  • Services:

Cross-Site-Scripting: Javascript-Code in Bilder einbetten

Mittels eines Tricks lassen sich gültige GIF-Bilder erstellen, die Javascript-Code enthalten. Damit kann der Schutzmechanismus Content-Security-Policy ausgehebelt werden. Abhilfe schafft ein noch wenig verbreiteter HTTP-Header.

Artikel veröffentlicht am , Hanno Böck
Eine GIF-Datei mit eingebautem Javascript-Code
Eine GIF-Datei mit eingebautem Javascript-Code (Bild: Screenshot Golem.de)

Der IT-Sicherheitsspezialist Ajin Abraham hat eine Datei erzeugt, die einen gültigen GIF-Header enthält, aber gleichzeitig Javascript ausführt. Die Methode geht auf eine Idee von Ange Albertini zurück. Mit solchen manipulierten GIF-Dateien lässt sich unter bestimmten Umständen auch auf Webseiten, die mittels Content Security Policy (CSP) geschützt sind, bösartiger Javascript-Code ausführen.

Inhalt:
  1. Cross-Site-Scripting: Javascript-Code in Bilder einbetten
  2. X-Content-Type-Options: nosniff

Content Security Policy ist ein mächtiges Werkzeug, um Cross-Site-Scripting-Lücken (XSS) zu verhindern. Dabei wird ein Header gesetzt, der dem Browser mitteilt, von welchen Servern er Javascript ausführen darf. Setzt ein Webentwickler Content Security Policy korrekt ein, sollte damit eigentlich die Ausnutzung aller Cross-Site-Scripting-Lücken verhindert werden.

In vielen Fällen erlauben moderne Webanwendungen das Hochladen von Bildern. Gelingt es, in ein Bild Javascript-Code einzufügen, dann wird in so einem Fall der Schutz von CSP umgangen. Denn das Bild kommt ja vom selben Server, von dem auch der legitime Javascript-Code stammt.

Gleichzeitig GIF-Bild und Javascript-Code

Ein GIF-Bild beginnt mit der Zeichenkette GIF89a. Anschließend werden die Breite und die Höhe des Bildes gespeichert. Hier setzt der Trick von Albertini an: Für die Breite kann - völlig in Übereinstimmung mit dem GIF-Format - der Wert 0x2f2a eingetragen werden. Das entspricht einem Bild von 10.799 Pixeln Breite, gleichzeitig sind es aber auch die ASCII-Werte der Zeichenfolge /*, womit in Javascript ein Kommentar eingeleitet wird. Der Rest des GIF-Headers kann mit gültigen Werten gefüllt werden. Wird die Datei als Javascript interpretiert, werden diese Daten ignoriert, da es sich um einen Kommentar handelt.

Stellenmarkt
  1. wenglor sensoric GmbH, Tettnang am Bodensee
  2. SV Informatik GmbH, Stuttgart

Am Ende des GIF-Bildes wird nun die Zeichenfolge */=1; eingefügt. Der Kommentar wird durch */ beendet und das =1; führt dazu, dass aus der GIF89a-Signatur vom Beginn der Datei ein gültiger Code wird. Javascript sieht nun folgenden Code:

GIF89a/*[Kommentar]*/=1;

Das wird fehlerfrei interpretiert, es wird lediglich der Variablen mit dem Namen GIF89a der Wert eins zugewiesen. Anschließend kann beliebiger weiterer Javascript-Code in die Datei eingefügt werden.

Der Vorteil dieser Methode: Selbst wenn ein Server beim Upload prüft, ob es sich bei einer hochgeladenen Datei tatsächlich um ein Bild handelt, wird sie vermutlich akzeptiert, denn sie enthält gültige GIF-Daten.

Javascript mit falschem MIME-Type

Das zugrundeliegende Problem ist letztendlich, dass Browser Javascript-Code auch dann ausführen, wenn sie mit dem falschen Dateityp gesendet werden. Bei der Dateiübertragung mittels HTTP wird vom Server im Header ein sogenannter MIME-Type mitgeschickt. Für Javascript lautet dieser beispielsweise application/x-javascript. Für ein GIF-Bild wiederum lautet der MIME-Type image/gif.

Da häufig Daten mit falschen MIME-Informationen ausgeliefert werden, gibt es in Browsern diverse Mechanismen, durch die fehlerhafte Angaben ignoriert werden. Der Browser versucht, die Daten trotz fehlerhaften MIME-Typs korrekt zu interpretieren. Wird eine Datei mittels <script src="[datei]"></script> eingefügt, wird sie als Javascript-Code ausgeführt, egal, mit welchem MIME-Type sie ausgeliefert wurde. Damit ein Angreifer den Code ausführen kann, benötigt er also immer noch eine Möglichkeit, eigenen HTML-Code in die Webseite einzufügen, also eine klassische XSS-Lücke auszulösen. Doch genau die Ausnutzung solcher Lücken sollte durch Content Security Policy ja verhindert werden.

X-Content-Type-Options: nosniff 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 119,90€

hannob (golem.de) 04. Nov 2014

[...] Sorry, nein: Das ist falsch. Firefox macht genauso Content Sniffing wie die...

neustart 03. Nov 2014

Jap, hab ich auch gedacht. Wenn man die Sicherheitsschlacht irgendwie bewältigen will...

zZz 03. Nov 2014

Ich nutze seit geraumer Zeit die Server Configs aus dem HTML5 Boilerplate Paket und passe...

Anonymer Nutzer 03. Nov 2014

bei einem webmail könnte das zb der fall sein. dabei wird html code von unbekannter...


Folgen Sie uns
       


Cocktailmixer Hector 9000 ausprobiert

Wie funktioniert ein Cocktail-Mixer aus dem 3D-Drucker? Wir haben uns den Hector 9000 des Chaostreffs Recklinghausen mal vorführen lassen und ein bisschen nachgebaut.

Cocktailmixer Hector 9000 ausprobiert Video aufrufen
Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Begriffe, Architekturen, Produkte: Große Datenmengen in Echtzeit analysieren
Begriffe, Architekturen, Produkte
Große Datenmengen in Echtzeit analysieren

Wer sich auch nur oberflächlich mit Big-Data und Echtzeit-Analyse beschäftigt, stößt schnell auf Begriffe und Lösungen, die sich nicht sofort erschließen. Warum brauche ich eine Nachrichten-Queue und was unterscheidet Apache Hadoop von Kafka? Welche Rolle spielt das in einer Kappa-Architektur?
Von George Anadiotis


    Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
    Radeon VII im Test
    Die Grafikkarte für Videospeicher-Liebhaber

    Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
    2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
    3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

      •  /