Abo
  • Services:

jQuery: Cross-Site-Scripting in Captcha-Beispielcode weit verbreitet

Ein populäres jQuery-Plugin liefert Code mit einer Cross-Site-Scripting-Lücke aus. Der verwundbare Code stammt ursprünglich von einem Beispielskript für Captchas, das auf sehr vielen Webseiten zu finden ist.

Artikel veröffentlicht am , Hanno Böck
Eine Cross-Site-Scripting-Lücke steckt in einem weit verbreiteten PHP-Codebeispiel.
Eine Cross-Site-Scripting-Lücke steckt in einem weit verbreiteten PHP-Codebeispiel. (Bild: Screenshot)

Der IT-Sicherheitsexperte Sijmen Ruwhof hat eine Cross-Site-Scripting-Lücke (XSS) in einem Beispielcode gefunden, der mit dem jQuery-Validation-Plugin mitgeliefert wird. Der Programmierer des Plugins hat zunächst nicht auf die Kontaktversuche von Ruwhof reagiert, und in der jüngsten Version des Plugins ist der entsprechende Code immer noch vorhanden. Eine Analyse des Problems ergab, dass die Lücke in einem Beispielcode für Captchas steckt, der auf vielen weiteren Webseiten zum Einsatz kommt. An den Entwickler des jQuery-Plugins wurde sie bereits 2011 gemeldet.

Ausgabe von ungefilterter Variable

Stellenmarkt
  1. DFV Deutsche Familienversicherung AG, Frankfurt
  2. SICK AG, Reute bei Freiburg im Breisgau

Das Validation-Plugin für jQuery dient dazu, Benutzereingaben in Formularen clientseitig auf Korrektheit zu prüfen. In einem Unterverzeichnis befinden sich verschiedene Codebeispiele, darunter auch eines für eine Captcha-Eingabe. Zwar dürfte der Demo-Code von den wenigsten Anwendern verwendet werden, aber wer das Plugin installiert, wird vermutlich in der Regel auch die anderen mitgelieferten Dateien entpacken und nicht löschen. In der index.php-Datei des Captcha-Codes wird die Variable $_SERVER['PHP_SELF'] ungefiltert ausgegeben. Diese Variable enthält den Namen des aufgerufenen Skripts. Durch das direkte Anhängen von Javascript-Code an die URL hat man somit eine Cross-Site-Scripting-Lücke. Diese wiederum kann beispielsweise dazu genutzt werden, um Session-Cookies des Nutzers einer Webseite zu klauen, die das entsprechende Plugin installiert hat.

Ruwhof hatte die Lücke im August an den Entwickler des Validation-Plugins gemeldet und darauf keine Antwort erhalten. Auch weitere Kontaktversuche blieben erfolglos, im November wandte er sich direkt an das jQuery-Projekt. Auch dort erhielt er keine Antwort. Eine Suche ergab dann, dass bereits 2011 ein entsprechender Eintrag im Github-Bugtracker des Projekts erstellt wurde. Dort standen zwar keine Details zur Lücke, es ließ sich aber aus dem Kontext schließen, dass es wohl um dasselbe Problem ging. Der Entwickler des jQuery-Validation-Plugins schrieb dort, dass die Lücke keine große Sache sei und man den entsprechenden PHP-Beispielcode am besten entfernen sollte. Nur: Passiert ist das bis heute nicht. Auch die jüngste Version 1.13.1 liefert den entsprechenden Code noch mit.

Lücke bereits mehrfach entdeckt

Einen weiteren Hinweis auf die Lücke findet man in der Open Source Vulnerability Database (OSVDB). Dort wurde 2013 ein Eintrag erstellt. Offenbar wurde das Problem also schon mehrfach unabhängig voneinander gefunden. Ein Fix für die Lücke wurde jetzt, einige Stunden nach der Veröffentlichung von Ruwhof, im Github-Code des Validation-Plugins eingepflegt.

Doch das ganze Problem hat offenbar noch größere Ausmaße: Der verwundbare Code wurde nicht vom Autor des jQuery-Plugins selbst geschrieben, sondern offenbar von einer anderen Webseite übernommen. Die Webseite ist nicht mehr online, über Wayback Machine lässt sich jedoch eine alte Version der Seite samt Download-Möglichkeit für den Captcha-Code aufrufen. Dieser Beispielcode wurde offenbar nicht nur von dem fraglichen jQuery-Plugin übernommen. Ruwhof fand mittels Google einige tausend Webseiten mit dem entsprechenden Code.

Zuletzt suchte Ruwhof noch nach Codestücken, die in ähnlicher Weise direkt die Variable $_SERVER['PHP_SELF'] direkt an den Nutzer ausgaben. Diese Suche brachte hunderttausende Ergebnisse. Der PHP-Code von Webseiten ist üblicherweise nicht direkt sichtbar, daher handelt es sich bei den Fundstücken um Quellcodes oder Codebeispiele aus Foren. Es dürfte jedoch klar sein, dass ziemlich viele Seiten von Cross-Site-Scripting-Lücken dieser Art betroffen sind.

Chrome und Internet Explorer filtern Reflective XSS

Cross-Site-Scripting-Lücken sind in Webanwendungen weit verbreitet. Bei der hier vorgestellten Lücke handelt es sich um eine sogenannte Reflective-XSS-Lücke. Chrome und der Internet Explorer haben einen Filter für derartige Lücken, somit lässt sie sich dort nicht ausnutzen. In Firefox gibt es bislang keinen derartigen Filter. Eine generelle Schutzmaßnahme zur Vermeidung von Cross-Site-Scripting ist die Header Content-Security-Policy. Die wird aber bislang nur von wenigen Webseiten eingesetzt.



Anzeige
Top-Angebote
  1. 27,99€ + 5,99€ Versand (Vergleichspreis 44,95€)
  2. 31,50€ (Vergleichspreis ca. 40€)
  3. 30,99€ (Vergleichspreis ca. 40€)
  4. 34,99€/44,99€ (8 GB/16 GB)

Jakelandiar 20. Nov 2014

Ok das könnte bei dummen usern gehen wo so ein link nicht auffällt. Aber bei solchen...

Patrick Bauer 20. Nov 2014

"Javascript ist seit HTML5 in allen Browsern gleich und hat die gleichen Methoden und...

violator 19. Nov 2014

Na dann sag das mal deinem Chef und dem Kunden, dass das alles länger dauert als bei...

rz70 19. Nov 2014

k.T.


Folgen Sie uns
       


Xbox E3 2018 Pressekonferenz - Golem.de Live

Große Gefühle beim E3-2018-Livestream von Microsoft: Erlebt mit uns die Ankündigungen von Halo Infinite, Gears 5, Sekiro, Cyberpunk 2077 und vielem mehr.

Xbox E3 2018 Pressekonferenz - Golem.de Live Video aufrufen
Mars: Die Staubstürme des roten Planeten
Mars
Die Staubstürme des roten Planeten

Der Mars-Rover Opportunity ist nicht die erste Mission, die unter Staubstürmen leidet. Aber zumindest sind sie inzwischen viel besser verstanden als in der Frühzeit der Marsforschung.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Dunkle Nacht im Staubsturm auf dem Mars
  2. Mars Insight Ein Marslander ist nicht genug

Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  2. Roboat MIT-Forscher drucken autonom fahrende Boote
  3. Elektromobilität Norwegen baut mehr Elektrofähren

Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


      •  /