Carsten Eilers Freiberufler

Wirklich gefährlich ist nur der Missbrauch von Firefox-Erweiterungen. Dennoch ist es sinnvoll, andere Angriffsvektoren zu kennen.

Die Browser enthalten immer mehr Funktionen, die Webclients werden immer mächtiger. Das erste freut die Webentwickler, das zweite die Nutzer. Und die Angreifer freuen sich über beides, denn je mehr Funktionen der Browser bereitstellt, desto mehr können sie für ihre Zwecke missbrauchen. Außerdem gilt: Je mehr Funktionen in den schlechter zu schützenden Webclient ausgelagert werden, desto leichter lassen sie sich angreifen.

Der Webclient als Angriffsziel ist eigentlich immer aktuell. Im PHP Magazin 4.2015 ging es um die nach wie vor aktuelle Cross-Site Request Forgery, im PHP Magazin 6.2014 um Angriffe über die Grafikfunktionen von HTML5, im PHP Magazin 4.2014 um das ebenfalls sehr langlebige Clickjacking und im PHP Magazin 2.2014 um Angriffe auf den Webclient allgemein – von den älteren Artikeln ganz zu schweigen. Da wird es dringend Zeit für ein Update. Weitestgehend beschränke ich mich dabei auf einige der 2015 auf den Sicherheitskonferenzen vorgestellten bzw. beschriebenen neuen Angriffe auf und über Webbrowser und -client.

Zum Glück gibt es die Angriffe in den meisten Fällen bisher nur in der Theorie, sodass Sie eine Chance haben, die von den Sicherheitsforschern erkannten Angriffsmöglichkeiten durch entsprechende Gegenmaßnahmen abzuwehren, bevor es zu tatsächlichen Angriffen kommt. In der Praxis hat das bisher aber leider nicht immer funktioniert: Sowohl CSRF als auch Clickjacking sind seit Langem ebenso bekannt wie die möglichen Schutzmaßnahmen, und trotzdem kommt es „in the wild“ immer wieder zu solchen Angriffen. Also: Schützen Sie Ihre Webanwendungen vor den neuen Angriffsmöglichkeiten, bevor die Cyberkriminellen sie ausprobieren. Oft ist das ganz einfach, aber darauf komme ich später noch zurück.

Der Einfachheit halber geht es im Folgenden chronologisch weiter, und wie so oft konzentriere ich mich auf die Black-Hat-Konferenzen, da die einfach die besten Archive haben und man nicht mühsam Präsentationen, Material und Videos zusammensuchen muss.

Schutz vor DOM-basiertem XSS, aber richtig!

So ähnlich hieß ein von Martin Johns, Sebastian Lekies und Ben Stock auf der Black Hat Asia im März 2015 gehaltener Vortrag: „Client-Side Protection Against DOM-Based XSS Done Right (TM)“. DOM-basiertes XSS ist schon ziemlich alt; erstmals beschrieben wurde es 2005 von Amit Klein. Nach inzwischen über zehn Jahren sollte man doch davon ausgehen, dass entsprechende Schwachstellen nicht mehr vorkommen. Leider ist das natürlich nicht der Fall, ganz im Gegenteil – je mehr Funktionen in den Webclient ausgelagert werden, desto mehr Möglichkeiten gibt es, dabei DOM-basierte XSS-Schwachstellen zu implementieren. Bei einem Test der Alexa-Top-10K-Websites fanden die drei Forscher 1 602 eindeutige Schwachstellen auf 958 Domains. Dabei kam auch heraus, dass Google Chromes Schutz vor XSS-Schwachstellen in Form des „XSS Auditors“ nicht alle Angriffe abfängt. Ursache sind die Erkennungsroutinen des Auditors, der primär ein HTML-Parser ist, obwohl beim XSS im Allgemeinen JavaScript-Code eingeschleust wird.

Den vollständigen Artikel lesen Sie in der Ausgabe:

PHP Magazin 4.16 - "Expressive"

Wie sicher sind eigentlich unsere Browser oder Webclients? Carsten Eilers beschäftigt sich im PHP Magazin 4.16 ausführlich mit dieser Frage.

Alle Infos zum Heft
244272Websecurity: Wie sicher ist mein Browser/Client?
X
- Gib Deinen Standort ein -
- or -