Doppeltes Cross-Site-Scripting

Die Cross-Site-Scripting-Lücke, über die wir ursprünglich berichtet hatten, fand sich ebenfalls in der Suche auf der TÜV-Süd-Webseite. Wenn man in das Suchfeld Daten eingab, wurden diese in der Anzeige der Suchergebnisse in die Seite eingefügt. Allerdings standen die Daten nicht direkt im Quelltext der Seite. Vielmehr wurde via Javascript eine API angefragt, deren Ausgabe wurde anschließend in die Seite eingefügt.

Stellenmarkt
  1. Mitarbeiter (m/w/d) im IT-Support
    KRAFT Baustoffe GmbH, München-Aubing
  2. Senior Softwareingenieur - Test für Hubschraubersysteme (gn)
    ESG Elektroniksystem- und Logistik-GmbH, Donauwörth
Detailsuche

Dieses indirekte Einfügen der Daten hat für den Angreifer einen Vorteil. Denn die Browser Chrome und Edge versuchen, triviale Reflected-XSS-Angriffe zu blockieren oder zu filtern. Der Nutzen dieser XSS-Filter ist umstritten. Microsoft hat kürzlich daher angekündigt, den Filter zu entfernen. Doch aktuell ist er noch aktiv.

Der Filter versucht zu erkennen, ob Daten, die an eine Webseite übergeben wurden, wie XSS-Code aussehen und in der Ausgabe der Webseite auftauchen. Je nach Konfiguration und Browser wird dieser dann aus der Seite herausgefiltert oder komplett blockiert. Im Fall der TÜV-Webseite scheitert der Filter, denn in der Seite selbst taucht der XSS-Angriffscode nicht auf, er wird erst später via Javascript eingefügt.

Einige Zeichen wurden dabei gefiltert, darunter Klammern. Doch das konnte man relativ einfach umgehen: Javascript-Klammern lassen sich durch Backticks ersetzen. HTML-Steuerzeichen wie <, > und doppelte Anführungszeichen waren zulässig, sie mussten hierfür jedoch doppelt codiert werden - als HTML-Entities und zusätzlich URL-codiert, was Browser aber automatisch machen.

Fehlermeldung von WAF erlaubt ebenfalls Cross-Site-Scripting

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    17.-19.01.2023, Virtuell
  2. Deep Dive: Data Architecture mit Spark und Cloud Native: virtueller Ein-Tages-Workshop
    01.02.2023, Virtuell
Weitere IT-Trainings

In einigen Fällen schlug der Angriff jedoch fehl, und zwar offenbar in Abhängigkeit von der verwendeten IP. Eine Analyse ergab dabei folgendes: Die Backend-API, die dort angefragt wird, filterte in einigen Fällen die Anfragen und gab eine Fehlermeldung aus.

Offenbar war hier eine Web-Application-Firewall aktiv, die gefährlich aussehende Anfragen blockierte. Doch diese hatte ebenfalls einen fatalen Fehler: Die blockierte Anfrage wurde als Teil der Fehlermeldung mit ausgegeben - was sich ebenfalls für einen Reflected-Cross-Site-Scripting-Angriff ausnutzen ließ.

Filterung immer noch unzureichend

Der TÜV hat beide Lücken inzwischen behoben - zumindest teilweise. Robust wirkt die Korrektur jedoch nicht: Weiterhin ist es möglich, im Suchfeld Anführungszeichen einzugeben, die anschließend in der Ausgabeseite eingefügt werden. Der Suchstring landet dabei im value-Attribut eines unsichtbaren Formularfeldes (<input type="hidden">).

Das Problem: Da ein solches unsichtbares Formularfeld nicht angezeigt wird, schlagen übliche Cross-Site-Scripting-Strategien fehl, die mittels Javascript-Handlern wie onmouseover versuchen, den entsprechenden Code auszuführen.

Zwar gibt es einen Trick, mit dem auch in solchen unsichtbaren Feldern Cross-Site-Scripting möglich ist: Man kann über das accesskey-Attribut das Feld mittels einer Tastenkombination aktivieren. Dafür muss man den User dann dazu bringen, die entsprechende Tastenkombination einzugeben.

In diesem Fall funktioniert dies jedoch nicht: Das Formularfeld taucht in der Ausgabeseite mehrmals auf, das accesskey-Attribut funktioniert aber nicht, wenn derselbe Tastencode mehrfach auf derselben Webseite zugewiesen wird. Es ist uns daher nicht gelungen, diese Schwäche auszunutzen, obwohl die Filterung unzureichend erscheint.

Auch die Fehlermeldung der Web-Application-Firewall konnten wir weiterhin auslösen - allerdings nicht im Browser. Sie wird ausgelöst, wenn uncodierte HTML-Tags in bestimmte GET-Variablen eingefügt werden. Doch Browser codieren HTML-Tags in URLs automatisch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Remote Code Execution: Die löchrige Webseite des TÜV Süd
  1.  
  2. 1
  3. 2


zuschauer 07. Nov 2018

aber damals seid Ihr ja noch ins Gymnasium gegangen. Zum Glück kann man sich ja wehren...

dummzeuch 06. Nov 2018

Die Leute die andere Webseiten zertifizieren und die, die die eigenene Webseite bauen...

dummzeuch 06. Nov 2018

Den TÜV (Süd, in diesem Fall, denn es gibt ja in Deutschland drei unterschiedliche TÜVs...

joediboe 06. Nov 2018

Was genau haben die Waffen der Polizei/BW und Politiker mit der Webseite des TÜV Süd zu...



Aktuell auf der Startseite von Golem.de
Digitale Dienste und Märkte
Wie DSA und DMA umgesetzt werden

Die Verordnungen über digitale Dienste und Märkte sind inzwischen in Kraft getreten. An ihrer Umsetzung können Interessenvertreter sich noch beteiligen.
Ein Bericht von Friedhelm Greis

Digitale Dienste und Märkte: Wie DSA und DMA umgesetzt werden
Artikel
  1. Cosmoteer im Test: Factorio im Weltraum
    Cosmoteer im Test
    Factorio im Weltraum

    Eine einzige Person hat über viele Jahre die Sandbox Cosmoteer entwickelt. Dort bauen wir Raumschiffe und kämpfen im All. Achtung, Suchtpotenzial!
    Ein Test von Oliver Nickel

  2. 25 Jahre Mars Attacks!: Aus irgendeinem merkwürdigen Grund fehl am Platz
    25 Jahre Mars Attacks!
    "Aus irgendeinem merkwürdigen Grund fehl am Platz"

    Viele Amerikaner fanden Tim Burtons Mars Attacks! nicht so witzig, aber der Rest der Welt lacht umso mehr - bis heute, der Film ist grandios gealtert.
    Von Peter Osteried

  3. Energiekrise: Cern schickt LHC früher in die Winterpause
    Energiekrise
    Cern schickt LHC früher in die Winterpause

    Der französische Energieversorger EDF hat das Cern um eine Verkürzung der Laufzeit gebeten. Auch im kommenden Jahr wird der LHC kürzer in Betrieb sein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN850 1TB 129€ • GIGABYTE Z690 AORUS ELITE 179€ • SanDisk SSD Plus 1TB 59€ • Crucial P3 Plus 1TB 81,99 • Mindfactory: XFX Speedster ZERO RX 6900 XT RGB EKWB Waterblock LE 809€ [Werbung]
    •  /