1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Javascript-Code…

Scheint nicht gerade die Mega-Lücke zu sein

  1. Thema

Neues Thema Ansicht wechseln


  1. Scheint nicht gerade die Mega-Lücke zu sein

    Autor: andi_lala 03.11.14 - 11:58

    ... wenn man ja zum Ausführen immer noch HTML-Code einschleusen muss um per Script-Tag das Gif/Javascript file einzubinden, weil dann könnte man wohl meistens sowieso auch gleich direkt Javascript einfügen.
    Ich glaube dieser Angriffsvektor ist wirklich nur in Ausnahmefällen und in Kombination mit anderen Lücken nutzbar, oder hätte jemand eine Idee in welchem Szenario das sonst ein Sicherheitsproblem darstellen könnte?

  2. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: M. 03.11.14 - 12:00

    Man kann per Content Security Policy festlegen, dass *aller* JS-Code aus externen Dateien Stammen muss, die vom selben Server ausgeliefert werden. Dadurch können XSS-Lücken nur noch in Verbindung mit anderen Lücken ausgenutzt werden.

  3. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: hannob (golem.de) 03.11.14 - 12:08

    Die Erklärung von M. ist korrekt.

    Um es anders auszudrücken: Die Sache alleine ist keine Lücke. Aber es hilft dabei, andere XSS-Lücken, die durch CSP eigentlich blockiert werden sollen, wieder zu kritischen Lücken zu machen.

  4. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: andi_lala 03.11.14 - 12:14

    Danke für das Klarstellen, dann hab ich das eh richtig vermutet.

  5. dazu kommt noch

    Autor: dabbes 03.11.14 - 12:35

    das Bilder 1:1 wieder ausgegeben werden.

    Die meisten Dienste Berechnen die Bilder eh neu oder optimieren diese.
    CDNs machen das teilweise automatisch.

  6. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: lepedante 03.11.14 - 12:45

    Zur Umgehung der Lücke reicht es vollkommen, Bilder und Skripte von zwei verschiedenen Subdomains auszuliefern. Per CSP wird dann die Ausführung von Skripten nur aus der Skipt-Subdomain erlaubt.

  7. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: kayozz 03.11.14 - 12:55

    Nehmen wir mal an, Website A hat seit geraumer Zeit eine XSS Lücke über die sich ein script src=".." HTML-Block einschleusen lässt. Ein Angreifer B weiß dieses seit geraumer Zeit (ggf. handelt es sich um eine Forensoftware die auf X Seiten verwendet wird) ist aber bisher nicht in der Lage die Sicherheitslücke auszunutzen, da Content Security Policy aktiv ist und nur Javascript von der eigenen Seite erlaubt und der Angreifer dort keine JS Dateien ablegen kann.

    Jetzt ist der Angreifer in der Lage sich bei Forum A zu registrieren, eine GIF in die Signatur zu packen und kann nun die Lücke aktiv ausnutzen und das ggf. bei tausenden Installationen von genanntem Forum.

    Zugegeben, die selbe Bedrohung hat man ohne CSP auch aber die Gefahr ist doch, dass eventuelle Lücken die bisher bekannt waren und sich Entwickler gedacht haben "Hier gibt es zwar eine Sicherheitslücke aber dank CSP kann die ja keiner ausnutzen, also fixen wir die nicht" und jetzt geht es plötzlich doch.

  8. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: hannob (golem.de) 03.11.14 - 13:22

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > Zugegeben, die selbe Bedrohung hat man ohne CSP auch aber die Gefahr ist
    > doch, dass eventuelle Lücken die bisher bekannt waren und sich Entwickler
    > gedacht haben "Hier gibt es zwar eine Sicherheitslücke aber dank CSP kann
    > die ja keiner ausnutzen, also fixen wir die nicht" und jetzt geht es
    > plötzlich doch.

    Ich hoffe dass Leute nicht anfangen das zu tun. Ich bin ein großer Fan von CSP, aber man sollte es nicht als Ausrede nutzen Dinge nicht zu fixen. Allein schon deshalb weil zumindest im Moment der Support für CSP längst nicht in allen Browsern vollständig ist.

    @lepedante: Bilder und JS auf verschiedenen Subdomains ist sicher eine Möglichkeit solche Angriffe zu verhindern, aber es erhöht die Komplexität. Gerade bei einfacheren Webanwendungen ist es wohl eher üblich dass alles über eine Domain ausgeliefert wird.

  9. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: Anonymer Nutzer 03.11.14 - 13:27

    bei einem webmail könnte das zb der fall sein. dabei wird html code von unbekannter quelle im browser im kontext des webmails dargestellt. ein virenscanner am smtp wird das gif nicht filtern, da es ja korrekt ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Allianz Deutschland AG, Stuttgart
  2. STAHLGRUBER GmbH, Poing bei München
  3. Schaeffler Technologies AG & Co. KG, Nürnberg, Schweinfurt
  4. Landkreis Stade, Stade

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. 860 Evo 500 GB SSD für 74,00€, Portable T5 500 GB 86,00€)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Huawei-Gründer Ren Zhengfei: Der Milliardär, der im Regen auf ein Taxi wartet
Huawei-Gründer Ren Zhengfei
Der Milliardär, der im Regen auf ein Taxi wartet

Huawei steht derzeit im Zentrum des Medieninteresses - und so wird auch mehr über den Gründer und Chef Ren Zhengfei bekannt, der sich bisher so gut wie möglich aus der Öffentlichkeit ferngehalten hatte.
Ein Porträt von Achim Sawall

  1. US-Handelsboykott Ausnahmeregelung für Geschäfte mit Huawei erneut verlängert
  2. "Eindeutiger Beweis" US-Regierung holt ihre "Smoking Gun" gegen Huawei heraus
  3. 5G Unionsfraktion lehnt Verbot von Huawei einstimmig ab

Frauen in der Technik: Von wegen keine Vorbilder!
Frauen in der Technik
Von wegen keine Vorbilder!

Technik, also auch Computertechnik, war schon immer ein männlich dominiertes Feld. Das heißt aber nicht, dass es in der Geschichte keine bedeutenden Programmiererinnen gab. Besonders das Militär zeigte reges Interesse an den Fähigkeiten von Frauen.
Von Valerie Lux

  1. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  2. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  3. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig

Galaxy Z Flip im Hands-on: Endlich klappt es bei Samsung
Galaxy Z Flip im Hands-on
Endlich klappt es bei Samsung

Beim zweiten Versuch hat Samsung aus seinen Fehlern gelernt: Das Smartphone Galaxy Z Flip mit faltbarem Display ist alltagstauglicher und stabiler als der Vorgänger. Motorolas Razr kann da nicht mithalten.
Ein Hands on von Tobias Költzsch

  1. Isocell Bright HM1 Samsung verwendet neuen 108-MP-Sensor im Galaxy S20 Ultra
  2. Smartphones Samsung schummelt bei Teleobjektiven des Galaxy S20 und S20+
  3. Galaxy Z Flip Samsung stellt faltbares Smartphone im Folder-Design vor

  1. Eisenbahn: Alstom will Bahnsparte von Bombardier übernehmen
    Eisenbahn
    Alstom will Bahnsparte von Bombardier übernehmen

    Eine Fusion mit der Zugsparte von Siemens untersagte die europäischen Wettbewerbsbehörde vor drei Jahren. Jetzt will der französische Schienenfahrzeughersteller Alstom durch einen Kauf der Bahnsparte von Bombardier wachsen.

  2. Microsoft: Windows Terminal v0.9 kann beim Start mehrere Tabs öffnen
    Microsoft
    Windows Terminal v0.9 kann beim Start mehrere Tabs öffnen

    Das Windows Terminal 0.9 ist die letzte große Preview-Version vor der fertigen Software. Anwender können die Applikation über die Kommandozeile jetzt mit zwei oder mehr Tabs starten. Außerdem sollte durch einen Dialog verhindert werden, dass Nutzer aus Versehen alle geöffneten Tabs schließen.

  3. Echo und Co.: Armband stört Mikrofone von smarten Lautsprechern
    Echo und Co.
    Armband stört Mikrofone von smarten Lautsprechern

    Wissenschaftler haben in den USA ein Gerät entworfen, das mittels Ultraschall sämtliche Mikrofone in der Umgebung stört und um das Handgelenk getragen wird. Unter anderem können smarte Lautsprecher Unterhaltungen nicht mehr verstehen, wenn das Gerät aktiviert ist.


  1. 11:32

  2. 11:15

  3. 11:00

  4. 10:19

  5. 09:20

  6. 09:01

  7. 08:27

  8. 08:00