Abo
  • IT-Karriere:

XSS: Cross-Site-Scripting über DNS-Records

Eine besonders kreative Variante einer Cross-Site-Scripting-Lücke macht auf der Webseite Hacker News die Runde: Mittels eines TXT-DNS-Records lässt sich auf zahlreichen Webseiten Javascript einfügen.

Artikel veröffentlicht am , Hanno Böck
Tanzende HTML-Elemente durch Cross-Site-Scripting
Tanzende HTML-Elemente durch Cross-Site-Scripting (Bild: Screenshot)

Es ist ein unscheinbarer Eintrag auf der Webseite Hacker News: Ein Link mit dem Titel "TXT Record XSS". Wer darauf klickte, wurde auf die Webseite eines Domainhändlers weitergeleitet - dabei wurde das Lied "Harlem Shake" abgespielt und die Bedienelemente der Webseite bewegten sich im Takt dazu. Inzwischen ist das Problem auf der verlinkten Webseite behoben, zahlreiche andere Webseiten, die DNS-Einträge anzeigen, sind jedoch ebenfalls betroffen.

Stellenmarkt
  1. Aareal Bank Group, Wiesbaden
  2. operational services GmbH & Co. KG, verschiedene Standorte

Ein harmloser Scherz, er weist aber auf ein Sicherheitsproblem hin: Die Webseite ist verwundbar für eine ganz besondere Variante einer Cross-Site-Scripting-Lücke, oft als XSS abgekürzt. Cross-Site-Scripting-Lücken treten immer dann auf, wenn es einem unbefugten Angreifer gelingt, Javascript im Kontext einer fremden Webseite auszuführen. Im vorliegenden Fall erfolgte der Angriff über einen Eintrag im DNS-Server.

DNS sieht den Record-Typ TXT vor, in dem sich beliebige Text-Inhalte unterbringen lassen. Das wird beispielsweise für das Anti-Spam-System SPF genutzt. In diesem Fall wurde dort ein HTML/Javascript-Code platziert, der Musik abspielt und die Bedienelemente tanzen lässt. Der Code wurde auf der betroffenen Webseite ungefiltert ausgegeben und somit im Browser des Seitenbesuchers ausgeführt. Insbesondere überall dort, wo Benutzer einen Account haben, können Cross-Site-Scripting-Lücken auch böswillig missbraucht werden.

Üblicherweise denkt man bei Cross-Site-Scripting-Lücken an direkte Nutzereingaben, etwa an die Daten aus Webformularen. Doch ähnliche Lücken können überall auftreten, wo eine Webseite Inhalte einbindet, über deren Herkunft sie keine Kontrolle hat. Webentwickler sollten bei fremden Inhalten immer HTML-Steuerzeichen (<, >, &) in deren HTML-Entities umwandeln. Grundsätzlich verhindern lassen sich XSS-Angriffe in modernen Browsern durch eine Technologie namens Content Security Policy - die ist allerdings noch wenig verbreitet.

Während die ursprünglich auf Hacker News verlinkte Webseite das Problem inzwischen behoben hat und die DNS-Einträge entsprechend korrekt angezeigt werden, gibt es zahlreiche weitere Seiten, die von demselben Problem betroffen sind und auf denen weiterhin Harlem Shake abgespielt werden kann. Über Wayback Machine lässt sich auch die ursprünglich verlinkte Webseite samt XSS aufrufen.



Anzeige
Spiele-Angebote
  1. (-79%) 3,20€
  2. 2,19€
  3. 50,99€

0xDEADC0DE 23. Sep 2014

Und da steht: Du sollst nicht pampig sein? Steht da auch: Du sollst nicht interpretieren...

Mauwowjkd 21. Sep 2014

Hallo, ich verstehe auch nicht ganz, wie du das meinst, dass die Browser ASCII-Codes von...

PHPGangsta 21. Sep 2014

Was ist an der News neu? 2010 hat das schon jemand gemacht und veröffentlicht: https...

wirehack7 20. Sep 2014

Pff, dig TXT jamiehankins.co.uk pff, nslookup...

a.nonymous 20. Sep 2014

OK, ich formuliere die Frage anders: Was sollen Strato oder Cloudflare nun deiner...


Folgen Sie uns
       


Teamfight Tactics - Trailer (Gameplay)

Die Helden kämpfen automatisch, trotzdem sind Dota Unerlords und League of Legends: TeamfightTactics richtig spannende Games - die Golem.de im Video ausprobiert hat.

Teamfight Tactics - Trailer (Gameplay) Video aufrufen
Google Maps in Berlin: Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird
Google Maps in Berlin
Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird

Kartendienste sind für Touristen wie auch Ortskundige längst eine willkommene Hilfe. Doch manchmal gibt es größere Fehler. In Berlin werden beispielsweise einige Kleinprofil-Linien falsch gerendert. Dabei werden betriebliche Besonderheiten dargestellt.
Von Andreas Sebayang

  1. Kartendienst Qwant startet Tracking-freie Alternative zu Google Maps
  2. Nahverkehr Google verbessert Öffi-Navigation in Maps
  3. Google Maps-Nutzer können öffentliche Veranstaltungen erstellen

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

    •  /