1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cross-Site-Scripting: Javascript-Code…

Scheint nicht gerade die Mega-Lücke zu sein

  1. Thema

Neues Thema Ansicht wechseln


  1. Scheint nicht gerade die Mega-Lücke zu sein

    Autor: andi_lala 03.11.14 - 11:58

    ... wenn man ja zum Ausführen immer noch HTML-Code einschleusen muss um per Script-Tag das Gif/Javascript file einzubinden, weil dann könnte man wohl meistens sowieso auch gleich direkt Javascript einfügen.
    Ich glaube dieser Angriffsvektor ist wirklich nur in Ausnahmefällen und in Kombination mit anderen Lücken nutzbar, oder hätte jemand eine Idee in welchem Szenario das sonst ein Sicherheitsproblem darstellen könnte?

  2. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: M. 03.11.14 - 12:00

    Man kann per Content Security Policy festlegen, dass *aller* JS-Code aus externen Dateien Stammen muss, die vom selben Server ausgeliefert werden. Dadurch können XSS-Lücken nur noch in Verbindung mit anderen Lücken ausgenutzt werden.

  3. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: hannob (golem.de) 03.11.14 - 12:08

    Die Erklärung von M. ist korrekt.

    Um es anders auszudrücken: Die Sache alleine ist keine Lücke. Aber es hilft dabei, andere XSS-Lücken, die durch CSP eigentlich blockiert werden sollen, wieder zu kritischen Lücken zu machen.

  4. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: andi_lala 03.11.14 - 12:14

    Danke für das Klarstellen, dann hab ich das eh richtig vermutet.

  5. dazu kommt noch

    Autor: dabbes 03.11.14 - 12:35

    das Bilder 1:1 wieder ausgegeben werden.

    Die meisten Dienste Berechnen die Bilder eh neu oder optimieren diese.
    CDNs machen das teilweise automatisch.

  6. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: lepedante 03.11.14 - 12:45

    Zur Umgehung der Lücke reicht es vollkommen, Bilder und Skripte von zwei verschiedenen Subdomains auszuliefern. Per CSP wird dann die Ausführung von Skripten nur aus der Skipt-Subdomain erlaubt.

  7. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: kayozz 03.11.14 - 12:55

    Nehmen wir mal an, Website A hat seit geraumer Zeit eine XSS Lücke über die sich ein script src=".." HTML-Block einschleusen lässt. Ein Angreifer B weiß dieses seit geraumer Zeit (ggf. handelt es sich um eine Forensoftware die auf X Seiten verwendet wird) ist aber bisher nicht in der Lage die Sicherheitslücke auszunutzen, da Content Security Policy aktiv ist und nur Javascript von der eigenen Seite erlaubt und der Angreifer dort keine JS Dateien ablegen kann.

    Jetzt ist der Angreifer in der Lage sich bei Forum A zu registrieren, eine GIF in die Signatur zu packen und kann nun die Lücke aktiv ausnutzen und das ggf. bei tausenden Installationen von genanntem Forum.

    Zugegeben, die selbe Bedrohung hat man ohne CSP auch aber die Gefahr ist doch, dass eventuelle Lücken die bisher bekannt waren und sich Entwickler gedacht haben "Hier gibt es zwar eine Sicherheitslücke aber dank CSP kann die ja keiner ausnutzen, also fixen wir die nicht" und jetzt geht es plötzlich doch.

  8. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: hannob (golem.de) 03.11.14 - 13:22

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > Zugegeben, die selbe Bedrohung hat man ohne CSP auch aber die Gefahr ist
    > doch, dass eventuelle Lücken die bisher bekannt waren und sich Entwickler
    > gedacht haben "Hier gibt es zwar eine Sicherheitslücke aber dank CSP kann
    > die ja keiner ausnutzen, also fixen wir die nicht" und jetzt geht es
    > plötzlich doch.

    Ich hoffe dass Leute nicht anfangen das zu tun. Ich bin ein großer Fan von CSP, aber man sollte es nicht als Ausrede nutzen Dinge nicht zu fixen. Allein schon deshalb weil zumindest im Moment der Support für CSP längst nicht in allen Browsern vollständig ist.

    @lepedante: Bilder und JS auf verschiedenen Subdomains ist sicher eine Möglichkeit solche Angriffe zu verhindern, aber es erhöht die Komplexität. Gerade bei einfacheren Webanwendungen ist es wohl eher üblich dass alles über eine Domain ausgeliefert wird.

  9. Re: Scheint nicht gerade die Mega-Lücke zu sein

    Autor: Anonymer Nutzer 03.11.14 - 13:27

    bei einem webmail könnte das zb der fall sein. dabei wird html code von unbekannter quelle im browser im kontext des webmails dargestellt. ein virenscanner am smtp wird das gif nicht filtern, da es ja korrekt ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  2. Allianz Lebensversicherungs - AG, München
  3. Deutsche Rentenversicherung Bund, Berlin
  4. Weber Automotive GmbH, Markdorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 38,00€ (bei ubi.com)
  2. 319,00€ (Bestpreis)
  3. 31,49€
  4. (u. a. Die Siedler History Collection 19,99€, Anno 1800 Gold Edition für 38,00€, Tom Clancy's...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile Games: Mit Furz-Apps wird man kein Millionär mehr
Mobile Games
"Mit Furz-Apps wird man kein Millionär mehr"

Mit cleveren Kartenspielen wie Card Thief hat der Berliner Mobile-Games-Macher Arnold Rauers von Tinytouchtales seine gewinnbringende Nische gefunden. Im Gespräch mit Golem.de nennt er Zahlen - und gibt konkrete Empfehlungen für andere Entwickler.
Von Rainer Sigl

  1. Mobile Games Stillfront kauft Storm 8 für bis zu 400 Millionen US-Dollar
  2. Mobile Games Verspielt durch die Feiertage
  3. Mobile-Games-Auslese Märchen-Diablo für Mobile-Geräte

Magenta-TV-Stick im Test: Android-TV-Stick gleicht Magenta-TV-Schwächen nicht aus
Magenta-TV-Stick im Test
Android-TV-Stick gleicht Magenta-TV-Schwächen nicht aus

Eine bequeme Nutzung von Magenta TV verspricht die Telekom mit dem Magenta-TV-Stick. Wir haben uns die Hardware angeschaut und dabei auch einen Blick auf Magenta TV geworfen. Der Dienst hat uns derzeit noch zu viele Schwächen.
Ein Test von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

IT-Gehälter: Je nach Branche bis zu 1.000 Euro mehr
IT-Gehälter
Je nach Branche bis zu 1.000 Euro mehr

Wechselt ein ITler in eine andere Branche, sind auf dem gleichen Posten bis zu 1.000 Euro pro Monat mehr drin. Welche Industrien die höchsten und welche die niedrigsten Gehälter zahlen: Wir haben die Antworten auf diese Fragen - auch darauf, wie sich die Einkommen 2020 entwickeln werden.
Von Peter Ilg

  1. Softwareentwickler Der Fachkräftemangel zeigt sich nicht an den Gehältern

  1. Deutsche Bahn: Träges Betriebssystem des neuen IC2 verzögert Zugfahrten
    Deutsche Bahn
    Träges Betriebssystem des neuen IC2 verzögert Zugfahrten

    Etwa eine Stunde soll es dauern, einen IC2 komplett hochzufahren. Dabei sind die Züge für viel Geld erst neu eingeführt worden. Derzeit sorgt das problematische Betriebssystem an Bord für Frust bei der Deutschen Bahn und den Fahrgästen.

  2. EU-Instrumentarium: EU lässt Huawei bei 5G mit Einschränkungen zu
    EU-Instrumentarium
    EU lässt Huawei bei 5G mit Einschränkungen zu

    Die EU-Kommission beschließt erhöhte Sicherheitsanforderungen für 5G, schließt aber keinen Anbieter pauschal aus. Huawei äußert sich erfreut über die Entscheidung.

  3. Smartphones und Tablets: Neuer EU-Vorstoß für einheitliche Ladekabel
    Smartphones und Tablets
    Neuer EU-Vorstoß für einheitliche Ladekabel

    Die EU-Kommission will einen neuen Vorstoß für einheitliche Smartphone-Ladekabel unternehmen. Damit soll auch Elektronikschrott reduziert werden. Vor allem Apple sträubt sich seit Jahren dagegen.


  1. 14:59

  2. 14:41

  3. 14:22

  4. 14:01

  5. 13:41

  6. 13:17

  7. 12:27

  8. 12:05