Datenangeln mit HTML-Ankern
Sicherheitsforscher demonstrieren, wie sie durch HTML-Sprungmarken die Same-Origin-Policy austricksen und vertrauliche Daten zusammensammeln.
- Ronald Eikenberg
HTML-Anker lassen sich von Angreifern nutzen, um nach vertrauliche Daten von Webseitenbesuchern zu angeln, wie die Sicherheitsexperten von Context demonstrieren. Das sogenannte Framesniffing wirkt zunächst skurril: Ein Angreifer extrahiert dabei mit Hilfe der Postion des Scrollbalkens in einem iFrame unter Umständen vertrauliche Informationen.
Dazu lockt er das Opfer auf eine von ihm kontrollierte Seite, die eine weitere in einem unsichtbaren iFrame lädt. Diese Seite ist zum Beispiel eine vertrauliche Intranet-Seite oder enthält persönliche Daten in einem sozialen Netzwerk. Der Angreifer bettet die Seite mit einer bestimmten Sprungmarke ein, etwa http://en.wikipedia.org/wiki/Web_browser#History. Wenn die Scrollleiste nach dem Laden der Seite zu der entsprechenden Sprungmarke springt, weiß der Angreifer, dass ein Anker oder ein HTML-Element mit dieser ID auf der Seite existiert.
Kennt er die Struktur der Seite, kann er durch diese Informationshäppchen nach und nach an die gewünschten Informationen kommen. So könnte er zum Beispiel gezielt eine Suche absetzen und anhand der vorhandenen Sprungmarken in der Ergebnisseite erkennen, ob und wieviele Hits diese Suche erzeugt hat. Context demonstriert das Ausmaß dieses Problems anhand eines Skripts, das ohne Zustimmung des Nutzers Daten von der Business-Plattform LinkedIn ausliest.
Mit etwas Kreativität sind aber auch komplexere Angriffe möglich: Die Sicherheitsexperten zeigen in einem Video, wie sie Details einer fiktiven Firmenübernahme aus einer Sharepoint-Installation im Intranet auslesen. Ein solcher Angriff kann sich nach Angaben der Forscher schon mal über 15 Minuten hinziehen. Während dieser Zeit muss das Opfer lediglich die präparierte Seite geöffnet lassen.
Normalerweise verhindert die Same-Origin-Policy, dass ein Skript von Domain A (die Seite des Angreifers) auf Daten von Domain B (die eingebettete Seite) zugreifen kann. Doch bislang sind nur Firefox-Nutzer vor dem Framesniffing geschützt. Mit einem Update haben die Entwickler dafür gesorgt, dass Framesniffing nicht länger funktioniert. Webseitenbetreiber können Ihre Besucher schützen, indem sie im HTTP-Header das Feld X-Frame-Options mitsenden. Das verhindert, dass der Browser die Seite in einem iFrame öffnet. (rei)
