Twitter fixt erneute XSS-Lücke

Die Flut der XSS-Lücken in viel genutzten Angeboten nimmt kein Ende. Am Wochenende hat Twitter erneut ein Cross-Site-Scripting-Problem beseitigt.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 9 Beiträge
Von

Der eingeschleuste Code hat Zugang zum Cookie mit den Twitter-Zugangsdaten der Sitzung.

Die Flut der Sicherheitslücken in viel genutzten Angeboten nimmt kein Ende. Am Wochenende hat Twitter ein Cross-Site-Scripting-Problem beseitigt, das Levent Kayan entdeckt und gemeldet hatte. Über diese Lücke konnten Angreifer Zugangsdaten entführen.

Es handelte sich dabei um sogenanntes "reflexives XSS". Das bedeutet, dass sich der auszuführende Code in der URL befindet, die an den Server übertragen wird. Die angesprochene Web-Applikation filtert die Eingabe nicht ausreichend und liefert den Code zurück an den Browser des Anwenders. Der führt den JavaScript-Code dann im Kontext der Web-Seite aus. Das heißt, er hat Zugriff auf alle Eigenschaften der Seite – unter anderem auch auf deren Cookies mit dem Sitzungs-Token. Einfache Demos geben nur Meldungen aus und sehen harmlos aus. Doch dahinter steckt mehr.

Gelingt es einem Angreifer, Anwender dazu zu bringen, einen von ihm präparierten Link anzuklicken, kann er damit dessen Sitzungs-Token entführen und den Account übernehmen. Oft nutzt er das dann, um eine weitere Nachricht im Namen des Opfers zu posten und damit wiederum dessen Freunde reinzulegen. Über Link-Verkürzer wie bit.ly kann er diesen Angriff so verschleiern, dass er kein Misstrauen weckt. Alles was der Angreifer dann noch braucht, ist eine gute Geschichte, deren Link viele Anwender anklicken. Was man mit Cross Site Scripting dann alles anstellen kann, erklärt der Hintergrund-Artikel
Passwortklau für Dummies – oder warum Cross Site Scripting wirklich ein Problem ist.

In der letzten Woche wurden XSS-Lücken in den Angeboten von Skype und ICQ bekannt. Facebook kämpft quasi permanent mit einem ähnlichen Problem; immer wieder tauchen auch dort Wellen mit Statusmeldungen auf, die sich massenhaft verbreiten. Sie beruhen auf dem sogenannten Like-Jacking, bei dem eine Web-Site dem Anwender einen unsichtbaren IFrame unter den Mauszeiger schiebt, um einen Mausklick umzudirigieren. Über diese Kampagnen verbreitet sich mittlerweile auch Scareware, die es darauf anlegt, Benutzer so einzuschüchtern, dass sie teure aber nutzlose Schutzsoftware kaufen. (ju)