Abo
  • Services:
Anzeige
Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr.
Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr. (Bild: Usenix-Paper)

Websicherheit: Datenleck durch dynamische Skripte

Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr.
Auch fremde Webseiten können den Code in dynamisch generierten Skripten auslesen - eine bisher offenbar unterschätzte Gefahr. (Bild: Usenix-Paper)

Moderne Webseiten erstellen häufig dynamischen Javascript-Code. Wenn darin private Daten enthalten sind, können fremde Webseiten diese auslesen. Bei einer Untersuchung von Sicherheitsforschern war ein Drittel der untersuchten Webseiten von diesem Problem betroffen.

Anzeige

Eine neue Variante sogenannter Cross-Site-Scripting-Inclusion-Sicherheitslücken (XSSI) haben Sicherheitsforscher auf der Black Hat Amsterdam präsentiert. Viele Webseiten erstellen dynamischen Javascript-Code, der sensible Daten enthält. Das ist keine gute Idee: Wird Javascript-Code von einer fremden Webseite eingebunden, wird dieser in dem gleichen Kontext ausgeführt. Dadurch lassen sich die dort enthaltenen Daten in den meisten Fällen auslesen. Sebastian Lekies von der Universität Bochum, Ben Stock von der Universität des Saarlandes und Martin Johns, Sicherheitsforscher bei SAP, fanden zahlreiche populäre Webseiten, die von diesem Problem betroffen sind.

Frühere Lücken durch Browser-Quirks möglich

Schon 2006 wurde eine ähnlich gelagerte Sicherheitslücke in Gmail entdeckt. Auf der Gmail-Domain war bei eingeloggten Nutzern eine JSON-Datei abrufbar, deren Inhalt das Adressbuch des Nutzers enthielt. Dank der Same-Origin-Policy von Javascript kann ein fremdes Skript derartige Daten nicht direkt auslesen. Allerdings war es möglich, diese JSON-Datei als Javascript-Code so einzubinden, dass die Daten als gültiger Javascript-Array interpretiert wurden.

Derartige Lücken waren in der Vergangenheit jedoch nur möglich, weil die Webbrowser manchmal sehr tolerant im Interpretieren von Daten sind. So sehen Browser oft über Syntaxfehler in Dateien hinweg und akzeptieren diese auch, wenn sie mit dem falschen MIME-Type gesendet werden. Die in der Vergangenheit entdeckten Lücken führten dazu, dass die Browser weniger tolerant bei der Interpretation von Javascript-Code wurden.

Javascript-Code verrät Daten

Anders verhält sich die Sache, wenn sich sensible Daten direkt im Javascript-Code befinden. Erzeugt eine Webseite Javascript-Code, der in Variablen sensible Daten enthält - das können private Informationen wie Adressen und Telefonnummern sein, aber auch Tokens zum Schutz vor Cross-Site-Request-Forgery-Angriffen -, dann kann eine andere Webseite diesen Code völlig korrekt einbinden. Die jeweiligen Cookies des Nutzers werden dabei mitübertragen, somit wird der dynamisch erzeugte Code im Kontext einer fremden Webseite ausgeführt. In den meisten Fällen ist es dann für diese Webseite möglich, die dort enthaltenen Daten auszulesen.

Trivial ist das Auslesen, wenn sich die privaten Daten in globalen Variablen befinden. Aber auch wenn die Daten nur in lokalen Variablen in Funktionen enthalten sind, gibt es zahlreiche Wege, an die Daten zu gelangen. Insgesamt fanden die beteiligten Forscher fünf Wege, um entsprechende Daten auszulesen.

Browserplugin hilft bei Analyse

Das Problem ist offenbar weit verbreitet. Ein Browserplugin half bei der Untersuchung von Webseiten. Dieses Plugin prüfte bei allen in einer Webseite eingebundenen Javascript-Dateien, ob diese unterschiedlich sind, wenn man sie jeweils mit und ohne Cookies abruft. Insgesamt prüften die Forscher 150 populäre Webdienste, bei denen man sich mit Accounts anmelden muss. Davon waren insgesamt 49 Webseiten von dem Problem betroffen. Auf 34 Seiten waren eindeutige Identifizierungsmerkmale des Accounts zu finden, die beispielsweise zum Tracking missbraucht werden könnten. Persönliche Daten wie beispielsweise Telefonnummern oder Adressen fanden sich auf 15 Seiten, Tokens, die vor Cross-Site-Request-Forgery-Angriffen (CSRF) schützen sollten, fanden sich auf sieben Seiten.

In den meisten Fällen waren diese Seiten für Angriffe verwundbar, bei einigen wenigen Seiten wurde dies jedoch verhindert, weil die URL des jeweiligen Skripts auch dynamisch erstellt wurde und somit ein potenzieller Angreifer diese URL nicht weiß. Es handelte sich dabei aber vermutlich nicht um eine bewusste Schutzmaßnahme vor diesem Angriff, sondern um reinen Zufall.

E-Mails lesen und auf Facebook-Seite posten

Bei einer News-Webseite fanden die Forscher zusätzlich eine Cross-Site-Scripting-Lücke. Diese ließ sich allerdings nicht direkt ausnutzen, da das entsprechende Formular mittels eines CSRF-Tokens geschützt war und somit nur von dem Nutzer selbst ausgelöst werden konnte. Doch der CSRF-Token befand sich im Javascript-Code. Somit könnte ein Angreifer zunächst die Cross-Site-Scripting-Lücke mit dem ausgelesenen Token ausnutzen. Anschließend war es möglich, die Funktionalität der News-Seite zum Posten auf der Facebook-Seite auszulösen.

Bei einem E-Mail-Anbieter fanden sich die kompletten Inhalte der E-Mails im dynamischen Javascript-Code. Eine bösartige Webseite könnte also die Mails mitlesen. Bei einem Filehosting-Anbieter ließ sich ein Authentifizierungstoken auslesen, mit dem sich sämtliche Aktionen innerhalb des jeweiligen Webinterfaces auslösen ließen.

Namen der betroffenen Seiten nannten die Forscher nicht. Sie hatten nach eigenen Angaben die Betreiber informiert, von ihnen jedoch keine Reaktion erhalten. Die Seiten sind somit nach wie vor verwundbar.

Als Schutzmaßnahme könnten derartige Skripte theoretisch die Referrer-URL prüfen. Das sei jedoch, so die Vortragenden, eher fehleranfällig. Auch wäre es möglich, den dynamischen Javascript-Code nur auszugeben, wenn ein geheimer Token in der URL übergeben wird.

Nicht möglich sind derartige Angriffe auch, wenn der dynamisch erzeugte Javascript-Code nicht aus einer eigenen Datei eingebunden wird, sondern wenn Inline-Javascript genutzt wird. Doch Inline-Javascript verträgt sich schlecht mit einer Technologie namens Content Security Policy. Dieses Verfahren schützt sehr effektiv vor Cross-Site-Scripting-Lücken. Die weitere Verbreitung von Content Security Policy könnte also dazu führen, dass derartige Sicherheitslücken bei der Einbindung von dynamischen Skripten in Zukunft noch zunehmen.

Code und Daten trennen

Die beste Schutzmaßnahme vor derartigen Sicherheitslücken ist, komplett auf dynamisch generierten Code zu verzichten. Private Daten sollten schlicht nicht Teil des Javascript-Codes sein. Eine klare Trennung zwischen Code und Daten würde derartige Angriffe komplett verhindern.

Ein Hintergrundpapier zu den Angriffen wurde auf der Usenix-Konferenz im August veröffentlicht.


eye home zur Startseite
Xiut 16. Nov 2015

Dieser Teil ist echt gefährlich, wenn man nicht genauere Informationen und Umstände...

Geistesgegenwart 15. Nov 2015

Nö. Der Gag ist ja gerade das du durch einbinden eines Elements JavaScript (!= JSON...



Anzeige

Stellenmarkt
  1. Chemische Fabrik Budenheim KG, Budenheim
  2. DATAGROUP Köln GmbH, Starnberg bei München
  3. CAL Consult GmbH, Nürnberg
  4. Dataport, Hamburg


Anzeige
Spiele-Angebote
  1. 44,99€ (Vorbesteller-Preisgarantie)
  2. 1,49€
  3. (-75%) 2,49€

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Computerspiele und Psyche Wie Computerspieler zu Süchtigen erklärt werden sollen
  2. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  3. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

  1. Re: Passwort-Manager als Abo!?

    picaschaf | 23:37

  2. Re: Gutes Konzept... schrottiges OS, und dann 4000¤

    unbuntu | 23:28

  3. Re: Warum überhaupt VLC nutzen

    unbuntu | 23:23

  4. Re: Grafikbox so gross wie PC?

    ecv | 23:22

  5. Nachtrag zur Haltbarkeit

    as (Golem.de) | 23:13


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel