Abo
  • IT-Karriere:

jQuery: Cross-Site-Scripting in Captcha-Beispielcode weit verbreitet

Ein populäres jQuery-Plugin liefert Code mit einer Cross-Site-Scripting-Lücke aus. Der verwundbare Code stammt ursprünglich von einem Beispielskript für Captchas, das auf sehr vielen Webseiten zu finden ist.

Artikel veröffentlicht am , Hanno Böck
Eine Cross-Site-Scripting-Lücke steckt in einem weit verbreiteten PHP-Codebeispiel.
Eine Cross-Site-Scripting-Lücke steckt in einem weit verbreiteten PHP-Codebeispiel. (Bild: Screenshot)

Der IT-Sicherheitsexperte Sijmen Ruwhof hat eine Cross-Site-Scripting-Lücke (XSS) in einem Beispielcode gefunden, der mit dem jQuery-Validation-Plugin mitgeliefert wird. Der Programmierer des Plugins hat zunächst nicht auf die Kontaktversuche von Ruwhof reagiert, und in der jüngsten Version des Plugins ist der entsprechende Code immer noch vorhanden. Eine Analyse des Problems ergab, dass die Lücke in einem Beispielcode für Captchas steckt, der auf vielen weiteren Webseiten zum Einsatz kommt. An den Entwickler des jQuery-Plugins wurde sie bereits 2011 gemeldet.

Ausgabe von ungefilterter Variable

Stellenmarkt
  1. LORENZ Life Sciences Goup, Frankfurt am Main
  2. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm

Das Validation-Plugin für jQuery dient dazu, Benutzereingaben in Formularen clientseitig auf Korrektheit zu prüfen. In einem Unterverzeichnis befinden sich verschiedene Codebeispiele, darunter auch eines für eine Captcha-Eingabe. Zwar dürfte der Demo-Code von den wenigsten Anwendern verwendet werden, aber wer das Plugin installiert, wird vermutlich in der Regel auch die anderen mitgelieferten Dateien entpacken und nicht löschen. In der index.php-Datei des Captcha-Codes wird die Variable $_SERVER['PHP_SELF'] ungefiltert ausgegeben. Diese Variable enthält den Namen des aufgerufenen Skripts. Durch das direkte Anhängen von Javascript-Code an die URL hat man somit eine Cross-Site-Scripting-Lücke. Diese wiederum kann beispielsweise dazu genutzt werden, um Session-Cookies des Nutzers einer Webseite zu klauen, die das entsprechende Plugin installiert hat.

Ruwhof hatte die Lücke im August an den Entwickler des Validation-Plugins gemeldet und darauf keine Antwort erhalten. Auch weitere Kontaktversuche blieben erfolglos, im November wandte er sich direkt an das jQuery-Projekt. Auch dort erhielt er keine Antwort. Eine Suche ergab dann, dass bereits 2011 ein entsprechender Eintrag im Github-Bugtracker des Projekts erstellt wurde. Dort standen zwar keine Details zur Lücke, es ließ sich aber aus dem Kontext schließen, dass es wohl um dasselbe Problem ging. Der Entwickler des jQuery-Validation-Plugins schrieb dort, dass die Lücke keine große Sache sei und man den entsprechenden PHP-Beispielcode am besten entfernen sollte. Nur: Passiert ist das bis heute nicht. Auch die jüngste Version 1.13.1 liefert den entsprechenden Code noch mit.

Lücke bereits mehrfach entdeckt

Einen weiteren Hinweis auf die Lücke findet man in der Open Source Vulnerability Database (OSVDB). Dort wurde 2013 ein Eintrag erstellt. Offenbar wurde das Problem also schon mehrfach unabhängig voneinander gefunden. Ein Fix für die Lücke wurde jetzt, einige Stunden nach der Veröffentlichung von Ruwhof, im Github-Code des Validation-Plugins eingepflegt.

Doch das ganze Problem hat offenbar noch größere Ausmaße: Der verwundbare Code wurde nicht vom Autor des jQuery-Plugins selbst geschrieben, sondern offenbar von einer anderen Webseite übernommen. Die Webseite ist nicht mehr online, über Wayback Machine lässt sich jedoch eine alte Version der Seite samt Download-Möglichkeit für den Captcha-Code aufrufen. Dieser Beispielcode wurde offenbar nicht nur von dem fraglichen jQuery-Plugin übernommen. Ruwhof fand mittels Google einige tausend Webseiten mit dem entsprechenden Code.

Zuletzt suchte Ruwhof noch nach Codestücken, die in ähnlicher Weise direkt die Variable $_SERVER['PHP_SELF'] direkt an den Nutzer ausgaben. Diese Suche brachte hunderttausende Ergebnisse. Der PHP-Code von Webseiten ist üblicherweise nicht direkt sichtbar, daher handelt es sich bei den Fundstücken um Quellcodes oder Codebeispiele aus Foren. Es dürfte jedoch klar sein, dass ziemlich viele Seiten von Cross-Site-Scripting-Lücken dieser Art betroffen sind.

Chrome und Internet Explorer filtern Reflective XSS

Cross-Site-Scripting-Lücken sind in Webanwendungen weit verbreitet. Bei der hier vorgestellten Lücke handelt es sich um eine sogenannte Reflective-XSS-Lücke. Chrome und der Internet Explorer haben einen Filter für derartige Lücken, somit lässt sie sich dort nicht ausnutzen. In Firefox gibt es bislang keinen derartigen Filter. Eine generelle Schutzmaßnahme zur Vermeidung von Cross-Site-Scripting ist die Header Content-Security-Policy. Die wird aber bislang nur von wenigen Webseiten eingesetzt.



Anzeige
Hardware-Angebote
  1. ab 234,90€
  2. 58,99€
  3. ab 194,90€

Jakelandiar 20. Nov 2014

Ok das könnte bei dummen usern gehen wo so ein link nicht auffällt. Aber bei solchen...

Patrick Bauer 20. Nov 2014

"Javascript ist seit HTML5 in allen Browsern gleich und hat die gleichen Methoden und...

violator 19. Nov 2014

Na dann sag das mal deinem Chef und dem Kunden, dass das alles länger dauert als bei...

rz70 19. Nov 2014

k.T.


Folgen Sie uns
       


P30 Pro im Kameratest: Huawei baut die vielseitigste Smartphone-Kamera
P30 Pro im Kameratest
Huawei baut die vielseitigste Smartphone-Kamera

Huawei will mit dem P30 Pro seinen Vorsprung vor den Smartphone-Kameras der Konkurrenez ausbauen - und schafft es mit einigen grundlegenden Veränderungen.
Ein Test von Tobias Költzsch

  1. CIA-Vorwürfe Huawei soll von chinesischer Regierung finanziert werden
  2. Huawei-Gründer "Warte auf Medikament von Google gegen Sterblichkeit"
  3. 5G-Ausbau Sicherheitskriterien führen nicht zu Ausschluss von Huawei

Urheberrechtsreform: Was das Internet nicht vergessen sollte
Urheberrechtsreform
Was das Internet nicht vergessen sollte

Die Reform des europäischen Urheberrechts ist eine Niederlage für viele Netzaktivisten. Zwar sind die Folgen der Richtlinie derzeit kaum absehbar. Doch es sollten die richtigen Lehren aus der jahrelangen Debatte mit den Internetgegnern gezogen werden.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht VG Media will Milliarden von Google
  2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
  3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern

Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
Jobporträt
Wenn die Software für den Anwalt kurzen Prozess macht

IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
Von Maja Hoock

  1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  3. Recruiting Wenn die KI passende Mitarbeiter findet

    •  /