HTML5 aus Hackersicht
Kommentare

Autofocus, Autofeuer
Auch das in manchen Fällen durchaus praktische Autofocus-Feature für verschiedene Tags hat unerwünschte Nebenwirkungen. Es erlaubt z. B. auch dann XSS-Angriffe, wenn als

Autofocus, Autofeuer

Auch das in manchen Fällen durchaus praktische Autofocus-Feature für verschiedene Tags hat unerwünschte Nebenwirkungen. Es erlaubt z. B. auch dann XSS-Angriffe, wenn als potenziell gefährliche Zeichen ausgefiltert werden:

Außerdem bringt es bei Bedarf ein Element mit schädlichem Inhalt automatisch in den Fokus.

Jeder macht, was er will

Solange es keinen HTML5-Standard gibt, gibt es auch keine einheitlichen Implementierungen. Manche Browser unterstützen mehr Tags als andere, was u. U. schon ausreichen könnte, um unerwartete Effekte zu erzielen. Selbst die Tags, die alle Browser unterstützen, werden nicht immer von allen gleich interpretiert werden.

Was Sie als Webentwickler ärgert, erfreut Angreifer umso mehr. Wenn Sie sich das (alte) XSS (Cross-Site Scripting) Cheat Sheet [2] ansehen, werden Sie viele Angriffe finden, die nur in manchen Browsern möglich sind – eben, weil diese die betroffenen Tags anders interpretieren als die nicht betroffenen Browser. Mit HTML5 kommen mit Sicherheit weitere Möglichkeiten zum Ausnutzen unterschiedlicher Interpretationen von Tags hinzu. Unabhängig von den Möglichkeiten, die die neuen Tags und die Änderungen an bekannten Tags zusätzlich liefern.

SVG ist eine Grafik?

Sie wissen ja sicher, dass SVG die Abkürzung für Scalable Vector Graphics ist. Wenn Sie aber denken, eine entsprechende Datei ist daher immer ein harmloses Bild, liegen Sie falsch. Ein Angreifer würde Sie dafür auslachen, denn für ihn ist SVG nur eine weitere Möglichkeit, um XSS-Code in Ihren Webclient einzuschleusen. Auch das folgende Beispiel ist eine korrekte SVG-Datei, aber alles andere als ein Bild:

 

Zumindest im Firefox vor Version 4 würde so ein vermeintliches Bild bei der Darstellung eine Alertbox öffnen.


Auf den kommenden Seiten erwarten euch…:

  • XSS-Einfallstore ohne Ende

  • Vorsicht auch bei der Abwehr!
  • Lokaler Speicher, globales Problem
  • Der Spion im Browser
  • Client vs. Server
  • War da was?
    Beispiel Session-ID
  • SQL-Injection-Angriff auf den Client
  • Gefahren für die Clientdatenbank
  • Hartnäckiger XSS-Wurmbefall
  • Lokal gespeicherter Schadcode
  • Cross-Origin Requests
  • Ein kleiner Abstecher: Clickjacking
  • Clickjacking the Like-Button = Likejacking
  • Clickjacking + HTML5 = Neue Angriffsmöglichkeiten
  • Ein praktischer Angriff: Cookiejacking
  • iframe: Sandkasten gegen JavaScript
  • Schöne neue Funktionen, schöne neue Möglichkeiten
  • Info zum Autor Carsten Eilers
  • Links und Literatur
Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -