O'Reilly logo

PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren by Stefan Esser, Christopher Kunz

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

4 Cross-Site Scripting84
Findet er jedoch eine Lücke, die nur durch spezielle, stets neu zu
machende Eingaben ausgenutzt werden kann – Suchfelder sind sehr
beliebt –, so muss der Angreifer die URL zum verwundbaren Skript so
modifizieren, dass sie XSS enthält. Diese URL muss er dann allen
potenziellen Opfern so unterschieben, dass diese auf die merkwürdigen
Zeichen nicht aufmerksam werden. Am einfachsten lässt sich dies mit
einem Link bewerkstelligen, der eine interessante Seite verspricht. Mit
diesem Social Engineering haben sich auch schon einige Mail-Würmer
verbreitet, für XSS ist sie praktisch unverändert einsetzbar. Ist ein Link
interessant genug und ist die Mail professionell genug aufgemacht,
wird fast jeder Anwender dem Link folgen – und in die XSS-Falle tappen.
XSS-Würmer auf
MySpace
Solche XSS-Würmer haben bereits mehrfach die populäre Com-
munity »MySpace« heimgesucht und sich über in Nutzerseiten einge-
bettetes JavaScript fortgepflanzt. Der jüngste MySpace-Wurm nutzte
gar ein Quicktime-Applet für seine Zwecke.
4.4 Erhöhte Gefahr dank Browserkomfort
Seit einiger Zeit gibt es in verschiedenen Browsern die Möglichkeit,
viel genutzte Benutzername-/Passwort-Kombinationen in einem soge-
nannten »Passwort-Safe« zu speichern, der auch »Wallet« oder ähn-
lich genannt werden kann. Nachdem Sie in einem solchen Safe einmal
Ihre Benutzerdaten hinterlegt haben, brauchen Sie sich beim nächsten
Login nicht mehr an diese zu erinnern – Ihr Webbrowser trägt die
Daten automatisch für Sie ein. Für Leute mit Gedächtnisschwierigkei-
ten (wie der Autor dieses Kapitels) ist dieses Feature eine Wohltat –
allerdings kann es XSS-Angriffe massiv verschärfen.
Passwort-Safes knacken
Die gespeicherten Passwörter werden nämlich im Passwort-Safe
im Klartext hinterlegt und automatisch in das jeweilige Formularfeld
eingefügt. Auch dort stehen sie stets im Klartext – obgleich Passwort-
felder durch »***« maskiert erscheinen – und sind somit per DOM
auslesbar. Findet ein Angreifer ein XSS-Problem in einer Anwendung,
reicht es aus, das Opfer mittels eines präparierten Links auf die jewei-
lige Login-Seite – präpariert mit etwas JavaScript – zu locken, um
deren Login-Daten zu bekommen.
Für Sie als verantwortungsvollen Nutzer sollte das bedeuten, dass
Sie zum einen auf die Verwendung von Passwort-Safes und Autover-
vollständigen-Optionen verzichten – aber auch, dass Sie deren Benut-
zung möglichst bei Ihren Projekten unterbinden sollten. Das können
Sie zum Beispiel durch dynamisch benannte Formularfelder bei Login-
Formularen erreichen.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required