Gefährliche XSS-Lücken

Beim Surfen fallen einem doch hin und wieder unsauber programmierte Seiten auf. Im Extremfall öffnet schlechte Programmierung Tür und Tor zu Datenbanken, Passwörtern oder wichtigen Dateien. Doch es langt schon wenn die Seite anfällig für Cross-Site-Scripting-Attacken ist. Diese Art des Angriffs schleust durch Get- oder Post-Daten HTML-Code auf der betroffenen Seite ein.

Manch einer wird nun sagen “Was interessiert es mich ob fremde durch spezielle URLs Texte auf meiner Seite anzeigen können solange normale Besucher die Informationen sehen, die sie suchen”. Doch durch fremden Code kann man eine ganze Menge anstellen. Der Vorteil besteht darin, dass der Besucher häufig nichts merkt, da die Domain vertrauenswürdig ist. Es wird auch keine Phishing-Toolbar Alarm schlagen.

So kann man als Angreifer einfach ein Formular einblenden, das nach persönlichen Daten fragt und die Ergebnisse an eine andere Seite sendet. Es ist aber auch möglich die Cookies, welche für die Domain bestehen auszulesen und damit die Session eines Besuchers aufzugreifen. Mit dieser Session ist es dann zum Beispiel möglich Dinge zu bestellen oder Einstellungen zu verändern.

Ich habe zusammen mit Freunden 10 Webseiten großer Unternehmen und Verlage ausgemacht, welche anfällig für solche Attacken sind. Ich frage mich wieso die Programmierer so häufig das Filtern von Eingabedaten vergessen. So gefährden sie die Privatssphäre der eigenen User. Ich hoffe, dass die Lücken möglichst bald geschlossen werden und auch andere Unternehmen ihre Webseiten überprüfen.

Zu guter Letzt wurde auch noch eine Lücke gefunden, die sich möglicherweise für SQL- oder Code-Injection eignet. [Edit: Inzwischen wurde die Lücke beseitigt.]