Cross-Site-Scripting mit Morsecode
Eine Cross-Site-Scripting-Lücke in einer italienischen Webseite führt dazu, dass Angreifer dem Benutzer schädliches JavaScript mittels Morsecode in der Adresse unterjubeln können.
Wer versteht heute noch den Notruf Di-Di-Di-Da-Da-Da-Di-Di-Dit (S.O.S., Save Our Souls)? Kaum ein Mensch, aber der Webbrowser: Der Sicherheitsexperte Nathan McFeters berichtet in seinem Blog von einer Cross-Site-Scripting-Lücke (XSS) in einer italienischen Webseite, durch die Angreifer schädliches JavaScript mit Kodierung in Morsecode in eine Adresse einbauen können.
Die betroffene Webseite nimmt Benutzerangaben in Morsecode entgegen und übersetzt sie mit einem PHP-Skript in Klartext. Allerdings haben die Programmierer vergessen, die Ein- und Ausgabe des Skriptes zu prüfen, sodass JavaScript in der Morsecode-Kodierung in übersetzter Form in die Ergebnisseite eingebaut und ausgeführt wird.
Die Lücke in der Seite zeigt, dass Webanwendungsentwickler auch von vermeintlich harmlosen Spaß-Anwendungen genau wie Programmierer lokaler Anwendungen Benutzereingaben stets überprüfen sollten. In diesem Fall hätte beispielsweise die einfache Überprüfung mit der PHP-Funktion html-entitites() die Ausgabe des Skriptes in unschädlich kodiertes HTML gewandelt. Weitere Hinweise zur Absicherung der eigenen Web-Anwendungen liefert der Hintergrundartikel Serverfrieden auf heise Security.
Siehe dazu auch:
- Morse Code Rickroll 0-day… no, seriously, I mean it, Blog-Eintrag von Nathan McFeters
(dmk)
