Abo
  • Services:
Anzeige
Tanzende HTML-Elemente durch Cross-Site-Scripting
Tanzende HTML-Elemente durch Cross-Site-Scripting (Bild: Screenshot)

XSS: Cross-Site-Scripting über DNS-Records

Eine besonders kreative Variante einer Cross-Site-Scripting-Lücke macht auf der Webseite Hacker News die Runde: Mittels eines TXT-DNS-Records lässt sich auf zahlreichen Webseiten Javascript einfügen.

Anzeige

Es ist ein unscheinbarer Eintrag auf der Webseite Hacker News: Ein Link mit dem Titel "TXT Record XSS". Wer darauf klickte, wurde auf die Webseite eines Domainhändlers weitergeleitet - dabei wurde das Lied "Harlem Shake" abgespielt und die Bedienelemente der Webseite bewegten sich im Takt dazu. Inzwischen ist das Problem auf der verlinkten Webseite behoben, zahlreiche andere Webseiten, die DNS-Einträge anzeigen, sind jedoch ebenfalls betroffen.

Ein harmloser Scherz, er weist aber auf ein Sicherheitsproblem hin: Die Webseite ist verwundbar für eine ganz besondere Variante einer Cross-Site-Scripting-Lücke, oft als XSS abgekürzt. Cross-Site-Scripting-Lücken treten immer dann auf, wenn es einem unbefugten Angreifer gelingt, Javascript im Kontext einer fremden Webseite auszuführen. Im vorliegenden Fall erfolgte der Angriff über einen Eintrag im DNS-Server.

DNS sieht den Record-Typ TXT vor, in dem sich beliebige Text-Inhalte unterbringen lassen. Das wird beispielsweise für das Anti-Spam-System SPF genutzt. In diesem Fall wurde dort ein HTML/Javascript-Code platziert, der Musik abspielt und die Bedienelemente tanzen lässt. Der Code wurde auf der betroffenen Webseite ungefiltert ausgegeben und somit im Browser des Seitenbesuchers ausgeführt. Insbesondere überall dort, wo Benutzer einen Account haben, können Cross-Site-Scripting-Lücken auch böswillig missbraucht werden.

Üblicherweise denkt man bei Cross-Site-Scripting-Lücken an direkte Nutzereingaben, etwa an die Daten aus Webformularen. Doch ähnliche Lücken können überall auftreten, wo eine Webseite Inhalte einbindet, über deren Herkunft sie keine Kontrolle hat. Webentwickler sollten bei fremden Inhalten immer HTML-Steuerzeichen (<, >, &) in deren HTML-Entities umwandeln. Grundsätzlich verhindern lassen sich XSS-Angriffe in modernen Browsern durch eine Technologie namens Content Security Policy - die ist allerdings noch wenig verbreitet.

Während die ursprünglich auf Hacker News verlinkte Webseite das Problem inzwischen behoben hat und die DNS-Einträge entsprechend korrekt angezeigt werden, gibt es zahlreiche weitere Seiten, die von demselben Problem betroffen sind und auf denen weiterhin Harlem Shake abgespielt werden kann. Über Wayback Machine lässt sich auch die ursprünglich verlinkte Webseite samt XSS aufrufen.


eye home zur Startseite
0xDEADC0DE 23. Sep 2014

Und da steht: Du sollst nicht pampig sein? Steht da auch: Du sollst nicht interpretieren...

Mauwowjkd 21. Sep 2014

Hallo, ich verstehe auch nicht ganz, wie du das meinst, dass die Browser ASCII-Codes von...

PHPGangsta 21. Sep 2014

Was ist an der News neu? 2010 hat das schon jemand gemacht und veröffentlicht: https...

wirehack7 20. Sep 2014

Pff, dig TXT jamiehankins.co.uk pff, nslookup...

a.nonymous 20. Sep 2014

OK, ich formuliere die Frage anders: Was sollen Strato oder Cloudflare nun deiner...



Anzeige

Stellenmarkt
  1. BRUNATA Wärmemesser GmbH & Co. KG, München
  2. ifm electronic GmbH, Essen
  3. p.a. GmbH, Poing
  4. Robert Bosch GmbH, Reutlingen


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 69,99€ (Release 31.03.)
  3. (-15%) 25,49€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Neuer Mobilfunk

    Telekom-Chef nennt 5G-Ausbau "sehr teuer"

  2. Luftfahrt

    Nasa testet Überschallpassagierflugzeug im Windkanal

  3. Lenovo

    Moto Mod macht Moto Z zum Spiele-Handheld

  4. Alternatives Betriebssystem

    Jolla will Sailfish OS auf Sony-Smartphones bringen

  5. Gamesbranche

    PC-Plattform ist bei Spielentwicklern am beliebtesten

  6. Digitale Assistenten

    Google und Amazon kämpfen um Vorherrschaft

  7. Xperia Touch im Hands on

    Projektor macht jeden Tisch Android-tauglich

  8. RetroPie

    Distribution hat keine Rechte mehr am eigenen Namen

  9. Nokia 3310 im Hands on

    Der Nokia-Knochen mit Hipsterpotenzial

  10. Auto

    Macchina M2 bietet Zugriff auf Fahrzeugelektronik



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

LineageOS im Test: Das neue Cyanogenmod ist fast das alte Cyanogenmod
LineageOS im Test
Das neue Cyanogenmod ist fast das alte Cyanogenmod
  1. Ex-Cyanogenmod LineageOS startet mit den ersten fünf Smartphones
  2. Smartphone-OS Cyanogenmod ist tot, lang lebe Lineage

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

  1. Re: Steam

    Iruwen | 16:42

  2. Re: "Selber Schuld"

    JohnStones | 16:41

  3. Re: Wozu?

    Chris0767 | 16:41

  4. Re: ein Mod geplant, mit dem sich das Smartphone...

    wonoscho | 16:39

  5. Re: War es schon "immer" und wird es auch bleiben

    QDOS | 16:38


  1. 16:32

  2. 16:12

  3. 15:33

  4. 14:31

  5. 14:21

  6. 14:16

  7. 13:30

  8. 12:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel