Mit XSS wird eine Sicherheitslücke am Computer bezeichnet, mit deren Hilfe zunächst schädliche Informationen über einen vertrauenswürdigen Kontext eingefügt werden. Anschließend wird der Angriff gestartet. Dabei leitet sich der Name Cross-Site davon ab, dass die entsprechende Attacke webseitenübergreifend gestartet wird.
Wie beispielsweise bei der XSS-Lücke von WordPress: Hier waren die Kommentarfelder betroffen, ohne die kaum eine Webseite auskommt, die mit WordPress betrieben werden. Der Angreifer brauchte nur einen Kommentar mit dem schädlichen Javascript zu posten. Während der Kontrolle der Kommentare durch den Admin wurde der schädliche Code aktiviert und erlaubte es, dass dieser beispielsweise unbemerkt das Passwort des Admins änderte, einen neuen Account anlegt oder auf dem Server schadhaften PHP Code ablegt. Der schädliche Code konnte somit auf das gesamte Betriebssystem des Servers zugreifen, Spam in Blogtexten ablegen und andere Funktionen des Admins ausüben.
XSS wurde von den Entwicklern vernachlässigt
Vordergründig stellt XSS zunächst kaum eine Gefahr dar, weder für den Server, noch für die Daten. Trotzdem kann ein Angreifer mit Hilfe von XSS eine ganze Menge Schaden anrichten: Er könnte Login-Daten stehlen, oder Session-Cookies, er könnte Software auf dem Rechner installieren. Wer auf seiner Seite ein Formular hat, in das Besucher der Webseite ihre Kommentare eintragen können, hat ein Beispiel für eine Applikation, die anfällig für XSS sein kann. Wenn das Formular HTML-Tags zulässt, könnte der Angreifer mit JavaScript jeden weiteren Besucher mit einem PopUp begrüßen oder ihn direkt auf eine andere Seite leiten. Sollte der Angreifer weitere dynamische Sprachelemente platzieren können, dann kann er beispielsweise bestehende Links manipulieren, Phishing-Angriffe starten oder geschriebene Texte austauschen. Schwerwiegend war dies Lücke vor allem auch deshalb, da die meisten großen Webhoster WordPress als 1Click Install direkt mit anbieten, wie z.B. der Testsieger One.com auf Netzsieger.de.
XSS ist gefährlich für alle
Eigentlich könnte man denken, dass ein solcher Angriff das Problem desjenigen ist, der die Webseite betreibt, beispielsweise mit WordPress. Doch so einfach ist das nicht. XSS wird für sensible Daten, wie beispielsweise Passwörter, dann zu einer Gefahr, wenn die Opfer bereits durch den Besuch einer verseuchten Seite ebenfalls angegriffen werden. Hinterlässt der Angreifer über diese Lücke seinen schadhaften Code auf dem Benutzerkommentar im Blog oder in einem Forum, wird jeder weitere Besucher des Threads oder der Seite ebenfalls angegriffen, ohne dass der Angreifer selbst daran weiter manipulieren muss. Gibt es dagegen eine Lücke, in der spezielle Eingaben gemacht werden müssen, wie bei einem Suchfeld, dann muss ein Angreifer die entsprechende URL mit XSS modifizieren. So werden die potentiellen Opfer nicht auf die seltsamen Zeichen aufmerksam und vertrauen der URL, die auf eine scheinbar interessante Seite führt. Auf diese Weise wurden schon mehrere Würmer per Mail verbreitet.
WordPress hat die Lücke geschlossen
WordPress hat ab der Version 4.0.1 die XSS-Lücke geschlossen, durch die der schädliche Code auf die Webseite mit dem beliebten CMS geschleust werden konnte. Nebenbei wurden weitere Sicherheitslücken geschlossen. Trotzdem gilt in jedem Fall: Alle Daten sind immer sorgfältig zu prüfen.
Bildquelle: © maxkabakov – Fotolia.com
Schlagworte zu diesem Artikel: Blog, HTML, JavaScript, PHP, Server
Der Benachrichtigungs-Dienst wird von WordPress.com (Automattic Inc., USA ) bereitgestellt. Mit der Anmeldung akzeptierst du die Datenschutzerklärung. Die Abmeldung / Abo-Verwaltung ist jederzeit über diesen Link möglich.