Cross-Site-Scripting mit Meta-Informationen

Datenfelder zur Aufnahme von Meta-Informationen bieten einen weiten Spielraum für kommende Cross-Site-Scripting-Angriffe (XSS), behauptet der Sicherheitsspezialist Tyler Reguly von nCircle. So lässt sich etwa in Whois- und DNS-Datensätzen sowie in SSL-Zertifikaten eingebettetes JavaScript unter bestimmten Umständen im Browser ausführen. Beispielsweise gibt es Web-Dienste, die eine Online-Prüfung von SSL-Zertifikaten von anderen Servern durchführen können. Unter anderem zeigen solche Dienste neben kryptografisch relevanten Informationen auch die Daten zum Inhaber und Aussteller des Zertifikats an.

Filtert der Dienst dabei die angefragten Daten nicht richtig, so führt der Browser des Anwenders enthaltenes JavaScript aus. Angreifer könnten auf diese Weise etwa ein Anmelde-Cookie kopieren oder Einstellungen im Profil (im Konto des Web-Dienstes) ändern. Konkret war der Dienstleister SSL Shopper betroffen, der den Fehler mittlerweile aber behoben hat. Von einer "Meta Information Cross Site Scripting"-Schwachstelle (MIXSS) war zudem laut Reguly der Whois-Dienst von WhatsMyIP.org betroffen, der das Problem aber ebenfalls beseitigt hat.

Grundsätzlich neu sei diese Form von XSS nicht, und sie sei auch bereits für Whois in einschlägigen Sicherheitsforen beschrieben worden, betont Reguly in einem Blogeintrag. Er halte es aber trotzdem für wichtig, diese Information nach außen zu tragen und insbesondere Entwickler und Administratoren darauf hinzuweisen. Daher hat er in einer Präsentation (pptx) konkrete Beispiele zur Verdeutlichung zusammengetragen.

Grundsätzlich können noch zahlreiche weitere Dienste verwundbar sein. Zudem tritt das Problem bei vielen anderen Meta-Informationen auf, die ein Angreifer selbst definieren kann und die von einem Dienst abgefragt werden. Dazu gehören unter anderem HTTP-Server-Header und Banner von SMTP-Servern. (dab)