Cross-Site-Scripting-Schwachstellen auf zahlreichen Webseiten

Dass Cross-Site-Scripting-Schwachstellen nicht nur ein Problem von unbekannteren Open-Source-Softwarepaketen ist, zeigt der Sicherheitsspezialist Michael Krax alias mikx. Anfang Dezember untersuchte er dutzende Webseiten großer Hersteller, Anbieter und Dienstleister. Innerhalb kürzester Zeit fand er 175 Seiten, die Benutzereingaben nicht ausreichend filterten, sodass in URLs eingeschleustes JavaScript im Browser des Anwenders ausgeführt wird.

Mit Cross-Site-Scripting (XSS) kann ein Angreifer nicht nur die Session-Cookies von Surfern stehlen, sondern auch die Inhalte von Seiten manipulieren. So ist er damit in der Lage, in Formulare eingegebene Daten auszulesen. Über fehlerhafte ActiveX-Controls ließe sich womöglich sogar das System eines Anwenders manipulieren. Der Autor weist darauf hin, dass XSS im Vergleich zu Sicherheitslücken durch Buffer Overflows weit weniger bedrohlich ist. Allerdings seien Cross-Site-Scripting-Schwachstellen im Internet sehr verbreitet und sehr leicht zu finden und auszunutzen.

Einige Web-Administratoren haben nach der Benachrichtigung durch Krax die Fehler innerhalb kürzester Zeit beseitigt, die Mehrzahl hat aber nicht reagiert. Krax hält auf seinen Seiten eine Liste der Proof-of-Concept-Links bereit, mit denen er die jeweiligen Seiten testete.

Siehe dazu auch: (dab/c't)

• Cross-Site Scripting - an industry-wide problem von mikx