TÜV-Siegel schützt nicht vor Cross Site Scripting
Bei einer konkreten Untersuchung zeigten sich viele Web-Seiten mit dem Prüfsiegel des TÜV-Süd anfällig für Cross Site Scripting.
In seinem Blog weist Marcell Dietl darauf hin, dass das Sicherheitssiegel des TÜV keineswegs bedeutet, dass die betreffende Web-Seite vor Sicherheitsproblemen wie Cross Site Scripting gefeit sei. Viele Web-Shops werben mit den "Prüfsiegel" um Vertrauen, das die Firma TÜV Süd unter dem Label s@fer-shopping vertreibt; so zum Beispiel das Versandhaus Otto oder der Reiseveranstalter L'Tur. "Mit TÜV-geprüfter Qualität, Sicherheit und Transparenz ist XYZ.de in hohem Maße vertrauenswürdig" heißt es dann auf solchen Seiten.
Dietl wollte sich offenbar davon selbst überzeugen und untersuchte eine Reihe von Web-Seiten mit TÜV-Siegel auf XSS-Schwachstellen. Zwar bestätigt er, dass sie anscheinend "über eine bessere Sicherheit [..] verfügen als der Durchschnitt". So scheiterten einfache Methoden, HTML-Code einzuschleusen, zumeist an Filtern. Trotzdem gelang ihm das letztlich bei einer beeindruckenden Liste von Online-Auftritten, auf der sich neben den beiden bereits erwähnten unter anderen auch Polo und Karstadt-Quelle-Versicherungen finden.
Dietl griff dabei zu verfeinerten XSS-Techniken wie der, Code als Zahlenfolge an Filtern vorbei zu mogeln, und dann mittels String.fromCharCode() wieder zurückzuwandeln. In anderen Fällen nutzte er spezielle CSS-Style-Elemente. Bei Expedia und Flug.de deckte er eine Möglichkeit auf, Zugriffe auf beliebige Seiten umzuleiten, wodurch sich Links auf bösartige Seiten tarnen lassen (was natürlich durch den verbreiteten Einsatz von TinyURLs nicht mehr so relevant ist).
Unter anderem damit, wie viel Schutz die unterschiedlichen Prüfsiegel und Zertifizierungen tatsächlich bieten und welche Testverfahren sich dahinter im Einzelnen verbergen, befasst sich auch die kommende heise-Security-Konferenz: Die sicheren Daten
Siehe dazu auch:
- Passwortklau für Dummies – oder warum Cross Site Scripting wirklich ein Problem ist auf heise Security
(ju)