Doppeltes Cross-Site-Scripting

Die Cross-Site-Scripting-Lücke, über die wir ursprünglich berichtet hatten, fand sich ebenfalls in der Suche auf der TÜV-Süd-Webseite. Wenn man in das Suchfeld Daten eingab, wurden diese in der Anzeige der Suchergebnisse in die Seite eingefügt. Allerdings standen die Daten nicht direkt im Quelltext der Seite. Vielmehr wurde via Javascript eine API angefragt, deren Ausgabe wurde anschließend in die Seite eingefügt.

Stellenmarkt
  1. Ingenieur (m/w/d) Softwareentwicklung Spezialfahrzeuge / Steer-by-Wire
    ME MOBIL ELEKTRONIK GMBH, Langenbrettach
  2. Administrator ServiceNow (m/w/d)
    operational services GmbH & Co. KG, Berlin, Hamburg, Frankfurt am Main, München
Detailsuche

Dieses indirekte Einfügen der Daten hat für den Angreifer einen Vorteil. Denn die Browser Chrome und Edge versuchen, triviale Reflected-XSS-Angriffe zu blockieren oder zu filtern. Der Nutzen dieser XSS-Filter ist umstritten. Microsoft hat kürzlich daher angekündigt, den Filter zu entfernen. Doch aktuell ist er noch aktiv.

Der Filter versucht zu erkennen, ob Daten, die an eine Webseite übergeben wurden, wie XSS-Code aussehen und in der Ausgabe der Webseite auftauchen. Je nach Konfiguration und Browser wird dieser dann aus der Seite herausgefiltert oder komplett blockiert. Im Fall der TÜV-Webseite scheitert der Filter, denn in der Seite selbst taucht der XSS-Angriffscode nicht auf, er wird erst später via Javascript eingefügt.

Einige Zeichen wurden dabei gefiltert, darunter Klammern. Doch das konnte man relativ einfach umgehen: Javascript-Klammern lassen sich durch Backticks ersetzen. HTML-Steuerzeichen wie <, > und doppelte Anführungszeichen waren zulässig, sie mussten hierfür jedoch doppelt codiert werden - als HTML-Entities und zusätzlich URL-codiert, was Browser aber automatisch machen.

Fehlermeldung von WAF erlaubt ebenfalls Cross-Site-Scripting

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    , Virtuell
Weitere IT-Trainings

In einigen Fällen schlug der Angriff jedoch fehl, und zwar offenbar in Abhängigkeit von der verwendeten IP. Eine Analyse ergab dabei folgendes: Die Backend-API, die dort angefragt wird, filterte in einigen Fällen die Anfragen und gab eine Fehlermeldung aus.

Offenbar war hier eine Web-Application-Firewall aktiv, die gefährlich aussehende Anfragen blockierte. Doch diese hatte ebenfalls einen fatalen Fehler: Die blockierte Anfrage wurde als Teil der Fehlermeldung mit ausgegeben - was sich ebenfalls für einen Reflected-Cross-Site-Scripting-Angriff ausnutzen ließ.

Filterung immer noch unzureichend

Der TÜV hat beide Lücken inzwischen behoben - zumindest teilweise. Robust wirkt die Korrektur jedoch nicht: Weiterhin ist es möglich, im Suchfeld Anführungszeichen einzugeben, die anschließend in der Ausgabeseite eingefügt werden. Der Suchstring landet dabei im value-Attribut eines unsichtbaren Formularfeldes (<input type="hidden">).

Das Problem: Da ein solches unsichtbares Formularfeld nicht angezeigt wird, schlagen übliche Cross-Site-Scripting-Strategien fehl, die mittels Javascript-Handlern wie onmouseover versuchen, den entsprechenden Code auszuführen.

Zwar gibt es einen Trick, mit dem auch in solchen unsichtbaren Feldern Cross-Site-Scripting möglich ist: Man kann über das accesskey-Attribut das Feld mittels einer Tastenkombination aktivieren. Dafür muss man den User dann dazu bringen, die entsprechende Tastenkombination einzugeben.

In diesem Fall funktioniert dies jedoch nicht: Das Formularfeld taucht in der Ausgabeseite mehrmals auf, das accesskey-Attribut funktioniert aber nicht, wenn derselbe Tastencode mehrfach auf derselben Webseite zugewiesen wird. Es ist uns daher nicht gelungen, diese Schwäche auszunutzen, obwohl die Filterung unzureichend erscheint.

Auch die Fehlermeldung der Web-Application-Firewall konnten wir weiterhin auslösen - allerdings nicht im Browser. Sie wird ausgelöst, wenn uncodierte HTML-Tags in bestimmte GET-Variablen eingefügt werden. Doch Browser codieren HTML-Tags in URLs automatisch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Remote Code Execution: Die löchrige Webseite des TÜV Süd
  1.  
  2. 1
  3. 2


zuschauer 07. Nov 2018

aber damals seid Ihr ja noch ins Gymnasium gegangen. Zum Glück kann man sich ja wehren...

dummzeuch 06. Nov 2018

Die Leute die andere Webseiten zertifizieren und die, die die eigenene Webseite bauen...

dummzeuch 06. Nov 2018

Den TÜV (Süd, in diesem Fall, denn es gibt ja in Deutschland drei unterschiedliche TÜVs...

joediboe 06. Nov 2018

Was genau haben die Waffen der Polizei/BW und Politiker mit der Webseite des TÜV Süd zu...

Truster 06. Nov 2018

... Wenn sie das denn können, ich habe schon Sachen erlebt....



Aktuell auf der Startseite von Golem.de
Prozessoren
Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus

Tausende ältere CPUs und andere Hardware lagern bei Intel in einem Lagerhaus in Costa Rica. Damit lassen sich Probleme exakt nachstellen.

Prozessoren: Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus
Artikel
  1. Zu wenig Triebwerke: Musk warnt vor SpaceX-Pleite
    Zu wenig Triebwerke
    Musk warnt vor SpaceX-Pleite

    Elon Musk sieht sich der nächsten "Produktionshölle" ausgesetzt. Dieses Mal stockt die Fertigung im Raumfahrtunternehmen SpaceX.

  2. VATM: Angeblich ruckelfreie Videos trotz Schwankungen im Festnetz
    VATM
    Angeblich ruckelfreie Videos trotz Schwankungen im Festnetz

    Laut VATM sind Schwankungen bei der Datenrate aufgrund hoher Reserven in den Netzen oft völlig unerheblich. E-Mail-Verkehr oder Videosstreaming seien nicht betroffen.

  3. Connect Mobilfunknetztest: Warum alle Netzbetreiber sehr gut sind
    Connect Mobilfunknetztest
    Warum alle Netzbetreiber "sehr gut" sind

    Es gibt viel Kritik an den deutschen Mobilfunk-Netzen. Im Vergleichstest von Connect findet sich davon wenig.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: Bis zu 75% auf Switch-Spiele • AOC 31,5" WQHD 165Hz 289,90€ • Gaming-Sale bei MediaMarkt • G.Skill 64GB Kit DDR4-3800 319€ • Bis zu 300€ Direktabzug: u. a. TVs, Laptops • WD MyBook HDD 18TB 329€ • Switch OLED 359,99€ • Xbox Series S 275,99€ [Werbung]
    •  /