Abo
  • Services:
Anzeige
Tanzende HTML-Elemente durch Cross-Site-Scripting
Tanzende HTML-Elemente durch Cross-Site-Scripting (Bild: Screenshot)

XSS: Cross-Site-Scripting über DNS-Records

Tanzende HTML-Elemente durch Cross-Site-Scripting
Tanzende HTML-Elemente durch Cross-Site-Scripting (Bild: Screenshot)

Eine besonders kreative Variante einer Cross-Site-Scripting-Lücke macht auf der Webseite Hacker News die Runde: Mittels eines TXT-DNS-Records lässt sich auf zahlreichen Webseiten Javascript einfügen.

Es ist ein unscheinbarer Eintrag auf der Webseite Hacker News: Ein Link mit dem Titel "TXT Record XSS". Wer darauf klickte, wurde auf die Webseite eines Domainhändlers weitergeleitet - dabei wurde das Lied "Harlem Shake" abgespielt und die Bedienelemente der Webseite bewegten sich im Takt dazu. Inzwischen ist das Problem auf der verlinkten Webseite behoben, zahlreiche andere Webseiten, die DNS-Einträge anzeigen, sind jedoch ebenfalls betroffen.

Anzeige

Ein harmloser Scherz, er weist aber auf ein Sicherheitsproblem hin: Die Webseite ist verwundbar für eine ganz besondere Variante einer Cross-Site-Scripting-Lücke, oft als XSS abgekürzt. Cross-Site-Scripting-Lücken treten immer dann auf, wenn es einem unbefugten Angreifer gelingt, Javascript im Kontext einer fremden Webseite auszuführen. Im vorliegenden Fall erfolgte der Angriff über einen Eintrag im DNS-Server.

DNS sieht den Record-Typ TXT vor, in dem sich beliebige Text-Inhalte unterbringen lassen. Das wird beispielsweise für das Anti-Spam-System SPF genutzt. In diesem Fall wurde dort ein HTML/Javascript-Code platziert, der Musik abspielt und die Bedienelemente tanzen lässt. Der Code wurde auf der betroffenen Webseite ungefiltert ausgegeben und somit im Browser des Seitenbesuchers ausgeführt. Insbesondere überall dort, wo Benutzer einen Account haben, können Cross-Site-Scripting-Lücken auch böswillig missbraucht werden.

Üblicherweise denkt man bei Cross-Site-Scripting-Lücken an direkte Nutzereingaben, etwa an die Daten aus Webformularen. Doch ähnliche Lücken können überall auftreten, wo eine Webseite Inhalte einbindet, über deren Herkunft sie keine Kontrolle hat. Webentwickler sollten bei fremden Inhalten immer HTML-Steuerzeichen (<, >, &) in deren HTML-Entities umwandeln. Grundsätzlich verhindern lassen sich XSS-Angriffe in modernen Browsern durch eine Technologie namens Content Security Policy - die ist allerdings noch wenig verbreitet.

Während die ursprünglich auf Hacker News verlinkte Webseite das Problem inzwischen behoben hat und die DNS-Einträge entsprechend korrekt angezeigt werden, gibt es zahlreiche weitere Seiten, die von demselben Problem betroffen sind und auf denen weiterhin Harlem Shake abgespielt werden kann. Über Wayback Machine lässt sich auch die ursprünglich verlinkte Webseite samt XSS aufrufen.


eye home zur Startseite
0xDEADC0DE 23. Sep 2014

Und da steht: Du sollst nicht pampig sein? Steht da auch: Du sollst nicht interpretieren...

Mauwowjkd 21. Sep 2014

Hallo, ich verstehe auch nicht ganz, wie du das meinst, dass die Browser ASCII-Codes von...

PHPGangsta 21. Sep 2014

Was ist an der News neu? 2010 hat das schon jemand gemacht und veröffentlicht: https...

wirehack7 20. Sep 2014

Pff, dig TXT jamiehankins.co.uk pff, nslookup...

a.nonymous 20. Sep 2014

OK, ich formuliere die Frage anders: Was sollen Strato oder Cloudflare nun deiner...



Anzeige

Stellenmarkt
  1. Haufe Group, Bielefeld
  2. STAUFEN.AG, Köngen
  3. über unternehmensberatung monika gräter, Augsburg
  4. SICK AG, Hamburg


Anzeige
Top-Angebote
  1. 89,49€ (nur für Prime-Kunden)
  2. 579€
  3. und mit Gutscheincode bis zu 40€ Rabatt erhalten

Folgen Sie uns
       


  1. iOS, MacOS und WatchOS

    Apple verteilt Updates wegen Telugu-Bug

  2. Sicherheitslücken

    Mehr als 30 Klagen gegen Intel wegen Meltdown und Spectre

  3. Nightdive Studios

    Arbeit an System Shock Remake bis auf Weiteres eingestellt

  4. FTTH

    Landkreistag fordert mit Vodafone Glasfaser bis in Gebäude

  5. Programmiersprache

    Go 1.10 cacht besser und baut Brücken zu C

  6. Letzte Meile

    Telekom macht Versuche mit Fixed Wireless 5G

  7. PTI und IBRS

    FreeBSD erhält Patches gegen Meltdown und Spectre

  8. Deutsche Telekom

    Huawei und Intel zeigen Interoperabilität von 5G

  9. Lebensmittel-Lieferservices

    Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"

  10. Fertigungstechnik

    Intel steckt Kobalt und 4,5 Milliarden US-Dollar in Chips



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fujitsu Lifebook U727 im Test: Kleines, blinkendes Anschlusswunder
Fujitsu Lifebook U727 im Test
Kleines, blinkendes Anschlusswunder
  1. Palmsecure Windows Hello wird bald Fujitsus Venenscanner unterstützen
  2. HP und Fujitsu Mechanischer Docking-Port bleibt bis 2019
  3. Stylistic Q738 Fujitsus 789-Gramm-Tablet kommt mit vielen Anschlüssen

Kingdom Come Deliverance im Test: Mittelalter, Speicherschnaps und klirrende Klingen
Kingdom Come Deliverance im Test
Mittelalter, Speicherschnaps und klirrende Klingen
  1. Kingdom Come Deliverance Von unendlich viel Rettungsschnaps und dem Ninja-Ritter
  2. Kingdom Come Deliverance Auf der Xbox One X wird das Mittelalter am schönsten
  3. Kingdom Come Deliverance angespielt Und täglich grüßt das Mittelalter

Chargery: 150 Kilo Watt auf drei Rädern
Chargery
150 Kilo Watt auf drei Rädern
  1. Europa-SPD Milliardenfonds zum Ausbau von Elektrotankstellen gefordert
  2. Elektromobilität China subventioniert Elektroautos mit großer Reichweite
  3. Elektromobilität Dyson entwickelt drei Elektroautos

  1. Re: Schließung des Forums

    HorkheimerAnders | 03:57

  2. Entwickler gesucht, gerne auch ältere

    Techfinder | 02:49

  3. Re: Besteht denn abseits von Großstadt-Hipstern...

    Squirrelchen | 02:44

  4. Re: Wurde laut BSD-Podcast am 24.12.17 bekannt

    MarioWario | 02:25

  5. Re: So kann man auch den Ausbau verhindern ;)

    bombinho | 02:24


  1. 00:27

  2. 18:27

  3. 18:09

  4. 18:04

  5. 16:27

  6. 16:00

  7. 15:43

  8. 15:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel