Abo
  • Services:

Websicherheit: Datenleck durch dynamische Skripte

Moderne Webseiten erstellen häufig dynamischen Javascript-Code. Wenn darin private Daten enthalten sind, können fremde Webseiten diese auslesen. Bei einer Untersuchung von Sicherheitsforschern war ein Drittel der untersuchten Webseiten von diesem Problem betroffen.

Artikel veröffentlicht am , Hanno Böck
Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr.
Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr. (Bild: Usenix-Paper)

Eine neue Variante sogenannter Cross-Site-Scripting-Inclusion-Sicherheitslücken (XSSI) haben Sicherheitsforscher auf der Black Hat Amsterdam präsentiert. Viele Webseiten erstellen dynamischen Javascript-Code, der sensible Daten enthält. Das ist keine gute Idee: Wird Javascript-Code von einer fremden Webseite eingebunden, wird dieser in dem gleichen Kontext ausgeführt. Dadurch lassen sich die dort enthaltenen Daten in den meisten Fällen auslesen. Sebastian Lekies von der Universität Bochum, Ben Stock von der Universität des Saarlandes und Martin Johns, Sicherheitsforscher bei SAP, fanden zahlreiche populäre Webseiten, die von diesem Problem betroffen sind.

Frühere Lücken durch Browser-Quirks möglich

Stellenmarkt
  1. Controlware GmbH, Meerbusch bei Düsseldorf
  2. JOB AG Industrial Service GmbH, Erfurt

Schon 2006 wurde eine ähnlich gelagerte Sicherheitslücke in Gmail entdeckt. Auf der Gmail-Domain war bei eingeloggten Nutzern eine JSON-Datei abrufbar, deren Inhalt das Adressbuch des Nutzers enthielt. Dank der Same-Origin-Policy von Javascript kann ein fremdes Skript derartige Daten nicht direkt auslesen. Allerdings war es möglich, diese JSON-Datei als Javascript-Code so einzubinden, dass die Daten als gültiger Javascript-Array interpretiert wurden.

Derartige Lücken waren in der Vergangenheit jedoch nur möglich, weil die Webbrowser manchmal sehr tolerant im Interpretieren von Daten sind. So sehen Browser oft über Syntaxfehler in Dateien hinweg und akzeptieren diese auch, wenn sie mit dem falschen MIME-Type gesendet werden. Die in der Vergangenheit entdeckten Lücken führten dazu, dass die Browser weniger tolerant bei der Interpretation von Javascript-Code wurden.

Javascript-Code verrät Daten

Anders verhält sich die Sache, wenn sich sensible Daten direkt im Javascript-Code befinden. Erzeugt eine Webseite Javascript-Code, der in Variablen sensible Daten enthält - das können private Informationen wie Adressen und Telefonnummern sein, aber auch Tokens zum Schutz vor Cross-Site-Request-Forgery-Angriffen -, dann kann eine andere Webseite diesen Code völlig korrekt einbinden. Die jeweiligen Cookies des Nutzers werden dabei mitübertragen, somit wird der dynamisch erzeugte Code im Kontext einer fremden Webseite ausgeführt. In den meisten Fällen ist es dann für diese Webseite möglich, die dort enthaltenen Daten auszulesen.

Trivial ist das Auslesen, wenn sich die privaten Daten in globalen Variablen befinden. Aber auch wenn die Daten nur in lokalen Variablen in Funktionen enthalten sind, gibt es zahlreiche Wege, an die Daten zu gelangen. Insgesamt fanden die beteiligten Forscher fünf Wege, um entsprechende Daten auszulesen.

Browserplugin hilft bei Analyse

Das Problem ist offenbar weit verbreitet. Ein Browserplugin half bei der Untersuchung von Webseiten. Dieses Plugin prüfte bei allen in einer Webseite eingebundenen Javascript-Dateien, ob diese unterschiedlich sind, wenn man sie jeweils mit und ohne Cookies abruft. Insgesamt prüften die Forscher 150 populäre Webdienste, bei denen man sich mit Accounts anmelden muss. Davon waren insgesamt 49 Webseiten von dem Problem betroffen. Auf 34 Seiten waren eindeutige Identifizierungsmerkmale des Accounts zu finden, die beispielsweise zum Tracking missbraucht werden könnten. Persönliche Daten wie beispielsweise Telefonnummern oder Adressen fanden sich auf 15 Seiten, Tokens, die vor Cross-Site-Request-Forgery-Angriffen (CSRF) schützen sollten, fanden sich auf sieben Seiten.

In den meisten Fällen waren diese Seiten für Angriffe verwundbar, bei einigen wenigen Seiten wurde dies jedoch verhindert, weil die URL des jeweiligen Skripts auch dynamisch erstellt wurde und somit ein potenzieller Angreifer diese URL nicht weiß. Es handelte sich dabei aber vermutlich nicht um eine bewusste Schutzmaßnahme vor diesem Angriff, sondern um reinen Zufall.

E-Mails lesen und auf Facebook-Seite posten

Bei einer News-Webseite fanden die Forscher zusätzlich eine Cross-Site-Scripting-Lücke. Diese ließ sich allerdings nicht direkt ausnutzen, da das entsprechende Formular mittels eines CSRF-Tokens geschützt war und somit nur von dem Nutzer selbst ausgelöst werden konnte. Doch der CSRF-Token befand sich im Javascript-Code. Somit könnte ein Angreifer zunächst die Cross-Site-Scripting-Lücke mit dem ausgelesenen Token ausnutzen. Anschließend war es möglich, die Funktionalität der News-Seite zum Posten auf der Facebook-Seite auszulösen.

Bei einem E-Mail-Anbieter fanden sich die kompletten Inhalte der E-Mails im dynamischen Javascript-Code. Eine bösartige Webseite könnte also die Mails mitlesen. Bei einem Filehosting-Anbieter ließ sich ein Authentifizierungstoken auslesen, mit dem sich sämtliche Aktionen innerhalb des jeweiligen Webinterfaces auslösen ließen.

Namen der betroffenen Seiten nannten die Forscher nicht. Sie hatten nach eigenen Angaben die Betreiber informiert, von ihnen jedoch keine Reaktion erhalten. Die Seiten sind somit nach wie vor verwundbar.

Als Schutzmaßnahme könnten derartige Skripte theoretisch die Referrer-URL prüfen. Das sei jedoch, so die Vortragenden, eher fehleranfällig. Auch wäre es möglich, den dynamischen Javascript-Code nur auszugeben, wenn ein geheimer Token in der URL übergeben wird.

Nicht möglich sind derartige Angriffe auch, wenn der dynamisch erzeugte Javascript-Code nicht aus einer eigenen Datei eingebunden wird, sondern wenn Inline-Javascript genutzt wird. Doch Inline-Javascript verträgt sich schlecht mit einer Technologie namens Content Security Policy. Dieses Verfahren schützt sehr effektiv vor Cross-Site-Scripting-Lücken. Die weitere Verbreitung von Content Security Policy könnte also dazu führen, dass derartige Sicherheitslücken bei der Einbindung von dynamischen Skripten in Zukunft noch zunehmen.

Code und Daten trennen

Die beste Schutzmaßnahme vor derartigen Sicherheitslücken ist, komplett auf dynamisch generierten Code zu verzichten. Private Daten sollten schlicht nicht Teil des Javascript-Codes sein. Eine klare Trennung zwischen Code und Daten würde derartige Angriffe komplett verhindern.

Ein Hintergrundpapier zu den Angriffen wurde auf der Usenix-Konferenz im August veröffentlicht.



Anzeige
Top-Angebote
  1. 389€ (Vergleichspreis 488€)
  2. 99,99€ + USK-18-Versand (Die Bestellbarkeit könnte sich jederzeit ändern bzw. kurzfristig...
  3. 375€ (Vergleichspreis Smartphone je nach Farbe ca. 405-420€. Speicherkarte über 30€)
  4. (u. a. Xbox Live Gold 12 Monate für 38,49€ und Monster Hunter World Deluxe Edition für 48,49€)

Xiut 16. Nov 2015

Dieser Teil ist echt gefährlich, wenn man nicht genauere Informationen und Umstände...

Geistesgegenwart 15. Nov 2015

Nö. Der Gag ist ja gerade das du durch einbinden eines Elements JavaScript (!= JSON...


Folgen Sie uns
       


Casio WSD-F30 - Hands on (Ifa 2018)

Die WSD-F30 von Casio ist eine Smartwatch, die sich besonders gut fürs Wandern eignen soll. Sie zeigt verschiedene Messwerte an - auch auf einem zweiten LC-Display.

Casio WSD-F30 - Hands on (Ifa 2018) Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
    Oldtimer-Rakete
    Ein Satellit noch - dann ist Schluss

    Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
    Von Frank Wunderlich-Pfeiffer

    1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
    2. Chang'e 4 China stellt neuen Mondrover vor
    3. Raumfahrt Cubesats sollen unhackbar werden

    iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
    iPhone Xs, Xs Max und Xr
    Wer unterstützt die eSIM in den neuen iPhones?

    Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
    Von Tobias Költzsch

    1. Apple Das iPhone Xr macht's billiger und bunter
    2. Apple iPhones sollen Stiftunterstützung erhalten
    3. XMM 7560 Intel startet Serienfertigung für iPhone-Modem

      •  /