Abo
  • IT-Karriere:

XSS: Cross-Site-Scripting über DNS-Records

Eine besonders kreative Variante einer Cross-Site-Scripting-Lücke macht auf der Webseite Hacker News die Runde: Mittels eines TXT-DNS-Records lässt sich auf zahlreichen Webseiten Javascript einfügen.

Artikel veröffentlicht am , Hanno Böck
Tanzende HTML-Elemente durch Cross-Site-Scripting
Tanzende HTML-Elemente durch Cross-Site-Scripting (Bild: Screenshot)

Es ist ein unscheinbarer Eintrag auf der Webseite Hacker News: Ein Link mit dem Titel "TXT Record XSS". Wer darauf klickte, wurde auf die Webseite eines Domainhändlers weitergeleitet - dabei wurde das Lied "Harlem Shake" abgespielt und die Bedienelemente der Webseite bewegten sich im Takt dazu. Inzwischen ist das Problem auf der verlinkten Webseite behoben, zahlreiche andere Webseiten, die DNS-Einträge anzeigen, sind jedoch ebenfalls betroffen.

Stellenmarkt
  1. Modis GmbH, Bonn
  2. RSG Group GmbH, Berlin

Ein harmloser Scherz, er weist aber auf ein Sicherheitsproblem hin: Die Webseite ist verwundbar für eine ganz besondere Variante einer Cross-Site-Scripting-Lücke, oft als XSS abgekürzt. Cross-Site-Scripting-Lücken treten immer dann auf, wenn es einem unbefugten Angreifer gelingt, Javascript im Kontext einer fremden Webseite auszuführen. Im vorliegenden Fall erfolgte der Angriff über einen Eintrag im DNS-Server.

DNS sieht den Record-Typ TXT vor, in dem sich beliebige Text-Inhalte unterbringen lassen. Das wird beispielsweise für das Anti-Spam-System SPF genutzt. In diesem Fall wurde dort ein HTML/Javascript-Code platziert, der Musik abspielt und die Bedienelemente tanzen lässt. Der Code wurde auf der betroffenen Webseite ungefiltert ausgegeben und somit im Browser des Seitenbesuchers ausgeführt. Insbesondere überall dort, wo Benutzer einen Account haben, können Cross-Site-Scripting-Lücken auch böswillig missbraucht werden.

Üblicherweise denkt man bei Cross-Site-Scripting-Lücken an direkte Nutzereingaben, etwa an die Daten aus Webformularen. Doch ähnliche Lücken können überall auftreten, wo eine Webseite Inhalte einbindet, über deren Herkunft sie keine Kontrolle hat. Webentwickler sollten bei fremden Inhalten immer HTML-Steuerzeichen (<, >, &) in deren HTML-Entities umwandeln. Grundsätzlich verhindern lassen sich XSS-Angriffe in modernen Browsern durch eine Technologie namens Content Security Policy - die ist allerdings noch wenig verbreitet.

Während die ursprünglich auf Hacker News verlinkte Webseite das Problem inzwischen behoben hat und die DNS-Einträge entsprechend korrekt angezeigt werden, gibt es zahlreiche weitere Seiten, die von demselben Problem betroffen sind und auf denen weiterhin Harlem Shake abgespielt werden kann. Über Wayback Machine lässt sich auch die ursprünglich verlinkte Webseite samt XSS aufrufen.



Anzeige
Top-Angebote
  1. (aktuell u. a. Monitore, Mäuse, CPUs)
  2. mit Gutschein: NBBCORSAIRPSP19
  3. (heute u. a. Saugroboter)
  4. (u. a. Seasonic Focus Gold 450 W für 46,99€ statt über 60€ im Vergleich)

0xDEADC0DE 23. Sep 2014

Und da steht: Du sollst nicht pampig sein? Steht da auch: Du sollst nicht interpretieren...

Mauwowjkd 21. Sep 2014

Hallo, ich verstehe auch nicht ganz, wie du das meinst, dass die Browser ASCII-Codes von...

PHPGangsta 21. Sep 2014

Was ist an der News neu? 2010 hat das schon jemand gemacht und veröffentlicht: https...

wirehack7 20. Sep 2014

Pff, dig TXT jamiehankins.co.uk pff, nslookup...

a.nonymous 20. Sep 2014

OK, ich formuliere die Frage anders: Was sollen Strato oder Cloudflare nun deiner...


Folgen Sie uns
       


Probefahrt mit dem e.Go Life

Der e.Go Life ist ein elektrisch angetriebener Kleinwagen des neuen Aachener Automobilherstellers e.Go Mobile. Wir haben eine Probefahrt gemacht.

Probefahrt mit dem e.Go Life Video aufrufen
5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. Testlabor-Leiter 5G bringt durch "mehr Antennen weniger Strahlung"
  2. Sindelfingen Mercedes und Telefónica Deutschland errichten 5G-Netz
  3. iPhone-Modem Apple will Intels deutsches 5G-Team übernehmen

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  3. Software-Entwickler Welche Programmiersprache soll ich lernen?

    •  /