• IT-Karriere:
  • Services:

jQuery: Cross-Site-Scripting in Captcha-Beispielcode weit verbreitet

Ein populäres jQuery-Plugin liefert Code mit einer Cross-Site-Scripting-Lücke aus. Der verwundbare Code stammt ursprünglich von einem Beispielskript für Captchas, das auf sehr vielen Webseiten zu finden ist.

Artikel veröffentlicht am , Hanno Böck
Eine Cross-Site-Scripting-Lücke steckt in einem weit verbreiteten PHP-Codebeispiel.
Eine Cross-Site-Scripting-Lücke steckt in einem weit verbreiteten PHP-Codebeispiel. (Bild: Screenshot)

Der IT-Sicherheitsexperte Sijmen Ruwhof hat eine Cross-Site-Scripting-Lücke (XSS) in einem Beispielcode gefunden, der mit dem jQuery-Validation-Plugin mitgeliefert wird. Der Programmierer des Plugins hat zunächst nicht auf die Kontaktversuche von Ruwhof reagiert, und in der jüngsten Version des Plugins ist der entsprechende Code immer noch vorhanden. Eine Analyse des Problems ergab, dass die Lücke in einem Beispielcode für Captchas steckt, der auf vielen weiteren Webseiten zum Einsatz kommt. An den Entwickler des jQuery-Plugins wurde sie bereits 2011 gemeldet.

Ausgabe von ungefilterter Variable

Stellenmarkt
  1. über duerenhoff GmbH, Nürnberg
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Das Validation-Plugin für jQuery dient dazu, Benutzereingaben in Formularen clientseitig auf Korrektheit zu prüfen. In einem Unterverzeichnis befinden sich verschiedene Codebeispiele, darunter auch eines für eine Captcha-Eingabe. Zwar dürfte der Demo-Code von den wenigsten Anwendern verwendet werden, aber wer das Plugin installiert, wird vermutlich in der Regel auch die anderen mitgelieferten Dateien entpacken und nicht löschen. In der index.php-Datei des Captcha-Codes wird die Variable $_SERVER['PHP_SELF'] ungefiltert ausgegeben. Diese Variable enthält den Namen des aufgerufenen Skripts. Durch das direkte Anhängen von Javascript-Code an die URL hat man somit eine Cross-Site-Scripting-Lücke. Diese wiederum kann beispielsweise dazu genutzt werden, um Session-Cookies des Nutzers einer Webseite zu klauen, die das entsprechende Plugin installiert hat.

Ruwhof hatte die Lücke im August an den Entwickler des Validation-Plugins gemeldet und darauf keine Antwort erhalten. Auch weitere Kontaktversuche blieben erfolglos, im November wandte er sich direkt an das jQuery-Projekt. Auch dort erhielt er keine Antwort. Eine Suche ergab dann, dass bereits 2011 ein entsprechender Eintrag im Github-Bugtracker des Projekts erstellt wurde. Dort standen zwar keine Details zur Lücke, es ließ sich aber aus dem Kontext schließen, dass es wohl um dasselbe Problem ging. Der Entwickler des jQuery-Validation-Plugins schrieb dort, dass die Lücke keine große Sache sei und man den entsprechenden PHP-Beispielcode am besten entfernen sollte. Nur: Passiert ist das bis heute nicht. Auch die jüngste Version 1.13.1 liefert den entsprechenden Code noch mit.

Lücke bereits mehrfach entdeckt

Einen weiteren Hinweis auf die Lücke findet man in der Open Source Vulnerability Database (OSVDB). Dort wurde 2013 ein Eintrag erstellt. Offenbar wurde das Problem also schon mehrfach unabhängig voneinander gefunden. Ein Fix für die Lücke wurde jetzt, einige Stunden nach der Veröffentlichung von Ruwhof, im Github-Code des Validation-Plugins eingepflegt.

Doch das ganze Problem hat offenbar noch größere Ausmaße: Der verwundbare Code wurde nicht vom Autor des jQuery-Plugins selbst geschrieben, sondern offenbar von einer anderen Webseite übernommen. Die Webseite ist nicht mehr online, über Wayback Machine lässt sich jedoch eine alte Version der Seite samt Download-Möglichkeit für den Captcha-Code aufrufen. Dieser Beispielcode wurde offenbar nicht nur von dem fraglichen jQuery-Plugin übernommen. Ruwhof fand mittels Google einige tausend Webseiten mit dem entsprechenden Code.

Zuletzt suchte Ruwhof noch nach Codestücken, die in ähnlicher Weise direkt die Variable $_SERVER['PHP_SELF'] direkt an den Nutzer ausgaben. Diese Suche brachte hunderttausende Ergebnisse. Der PHP-Code von Webseiten ist üblicherweise nicht direkt sichtbar, daher handelt es sich bei den Fundstücken um Quellcodes oder Codebeispiele aus Foren. Es dürfte jedoch klar sein, dass ziemlich viele Seiten von Cross-Site-Scripting-Lücken dieser Art betroffen sind.

Chrome und Internet Explorer filtern Reflective XSS

Cross-Site-Scripting-Lücken sind in Webanwendungen weit verbreitet. Bei der hier vorgestellten Lücke handelt es sich um eine sogenannte Reflective-XSS-Lücke. Chrome und der Internet Explorer haben einen Filter für derartige Lücken, somit lässt sie sich dort nicht ausnutzen. In Firefox gibt es bislang keinen derartigen Filter. Eine generelle Schutzmaßnahme zur Vermeidung von Cross-Site-Scripting ist die Header Content-Security-Policy. Die wird aber bislang nur von wenigen Webseiten eingesetzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-72%) 8,50€
  2. 18,99€
  3. (-28%) 17,99€

Jakelandiar 20. Nov 2014

Ok das könnte bei dummen usern gehen wo so ein link nicht auffällt. Aber bei solchen...

Patrick Bauer 20. Nov 2014

"Javascript ist seit HTML5 in allen Browsern gleich und hat die gleichen Methoden und...

violator 19. Nov 2014

Na dann sag das mal deinem Chef und dem Kunden, dass das alles länger dauert als bei...

rz70 19. Nov 2014

k.T.


Folgen Sie uns
       


Atari Portfolio angesehen

Der Atari Portfolio war einer der ersten Palmtop-Computer der Welt - und ist auch 30 Jahre später noch ein interessanter Teil der Computergeschichte. Golem.de hat sich den Mini-PC im Retrotest angeschaut.

Atari Portfolio angesehen Video aufrufen
Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

Apex Pro im Test: Tastatur für glückliche Gamer und Vielschreiber
Apex Pro im Test
Tastatur für glückliche Gamer und Vielschreiber

Steelseries bietet seine mechanische Tastatur Apex 7 auch als Pro-Modell mit besonderen Switches an: Zum Einsatz kommen sogenannte Hall-Effekt-Schalter, die ohne mechanische Kontakte auskommen. Besonders praktisch ist der einstellbare Auslösepunkt.
Ein Test von Tobias Költzsch

  1. Bluetooth und Ergonomic Keyboard Microsoft-Tastaturen kommen nach Deutschland
  2. Peripheriegeräte Microsofts neue Tastaturen haben Office- und Emoji-Tasten
  3. G Pro X Gaming Keyboard Logitech lässt E-Sportler auf austauschbare Tasten tippen

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

    •  /