• IT-Karriere:
  • Services:

XSS: Cross-Site-Scripting über DNS-Records

Eine besonders kreative Variante einer Cross-Site-Scripting-Lücke macht auf der Webseite Hacker News die Runde: Mittels eines TXT-DNS-Records lässt sich auf zahlreichen Webseiten Javascript einfügen.

Artikel veröffentlicht am , Hanno Böck
Tanzende HTML-Elemente durch Cross-Site-Scripting
Tanzende HTML-Elemente durch Cross-Site-Scripting (Bild: Screenshot)

Es ist ein unscheinbarer Eintrag auf der Webseite Hacker News: Ein Link mit dem Titel "TXT Record XSS". Wer darauf klickte, wurde auf die Webseite eines Domainhändlers weitergeleitet - dabei wurde das Lied "Harlem Shake" abgespielt und die Bedienelemente der Webseite bewegten sich im Takt dazu. Inzwischen ist das Problem auf der verlinkten Webseite behoben, zahlreiche andere Webseiten, die DNS-Einträge anzeigen, sind jedoch ebenfalls betroffen.

Stellenmarkt
  1. htp GmbH, Hannover
  2. Schwäbisch Hall Kreditservice GmbH, Schwäbisch Hall

Ein harmloser Scherz, er weist aber auf ein Sicherheitsproblem hin: Die Webseite ist verwundbar für eine ganz besondere Variante einer Cross-Site-Scripting-Lücke, oft als XSS abgekürzt. Cross-Site-Scripting-Lücken treten immer dann auf, wenn es einem unbefugten Angreifer gelingt, Javascript im Kontext einer fremden Webseite auszuführen. Im vorliegenden Fall erfolgte der Angriff über einen Eintrag im DNS-Server.

DNS sieht den Record-Typ TXT vor, in dem sich beliebige Text-Inhalte unterbringen lassen. Das wird beispielsweise für das Anti-Spam-System SPF genutzt. In diesem Fall wurde dort ein HTML/Javascript-Code platziert, der Musik abspielt und die Bedienelemente tanzen lässt. Der Code wurde auf der betroffenen Webseite ungefiltert ausgegeben und somit im Browser des Seitenbesuchers ausgeführt. Insbesondere überall dort, wo Benutzer einen Account haben, können Cross-Site-Scripting-Lücken auch böswillig missbraucht werden.

Üblicherweise denkt man bei Cross-Site-Scripting-Lücken an direkte Nutzereingaben, etwa an die Daten aus Webformularen. Doch ähnliche Lücken können überall auftreten, wo eine Webseite Inhalte einbindet, über deren Herkunft sie keine Kontrolle hat. Webentwickler sollten bei fremden Inhalten immer HTML-Steuerzeichen (<, >, &) in deren HTML-Entities umwandeln. Grundsätzlich verhindern lassen sich XSS-Angriffe in modernen Browsern durch eine Technologie namens Content Security Policy - die ist allerdings noch wenig verbreitet.

Während die ursprünglich auf Hacker News verlinkte Webseite das Problem inzwischen behoben hat und die DNS-Einträge entsprechend korrekt angezeigt werden, gibt es zahlreiche weitere Seiten, die von demselben Problem betroffen sind und auf denen weiterhin Harlem Shake abgespielt werden kann. Über Wayback Machine lässt sich auch die ursprünglich verlinkte Webseite samt XSS aufrufen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-74%) 15,50€
  2. 11,99€
  3. 2,49€
  4. 19,99

0xDEADC0DE 23. Sep 2014

Und da steht: Du sollst nicht pampig sein? Steht da auch: Du sollst nicht interpretieren...

Mauwowjkd 21. Sep 2014

Hallo, ich verstehe auch nicht ganz, wie du das meinst, dass die Browser ASCII-Codes von...

PHPGangsta 21. Sep 2014

Was ist an der News neu? 2010 hat das schon jemand gemacht und veröffentlicht: https...

wirehack7 20. Sep 2014

Pff, dig TXT jamiehankins.co.uk pff, nslookup...

a.nonymous 20. Sep 2014

OK, ich formuliere die Frage anders: Was sollen Strato oder Cloudflare nun deiner...


Folgen Sie uns
       


Microsoft Surface Laptop 3 (15 Zoll) - Hands on

Der Surface Laptop 3 ist eine kleine, aber feine Verbesserung zum Vorgänger. Er bekommt ein größeres Trackpad, eine bessere Tastatur und ein größeres 15-Zoll-Display. Es bleiben die wenigen Anschlüsse.

Microsoft Surface Laptop 3 (15 Zoll) - Hands on Video aufrufen
Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Elektroschrott: Kauft keine kleinen Konsolen!
Elektroschrott
Kauft keine kleinen Konsolen!

Ich bin ein Fan von Retro. Und ein Fan von Games. Und ich habe den kleinen Plastikschachteln mit ihrer schlechten Umweltbilanz wirklich eine Chance gegeben. Aber es hilft alles nichts.
Ein IMHO von Martin Wolf

  1. IMHO Porsche prescht beim Preis übers Ziel hinaus
  2. Gaming Konsolenkrieg statt Spielestreaming

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Microsoft Xbox Scarlett streamt möglicherweise schon beim Download
  2. Apple und Google Die wollen nicht nur spielen
  3. Medienbericht Twitch plant Spielestreaming ab 2020

    •  /