HTML5 aus Hackersicht
Kommentare

Clickjacking + HTML5 = Neue Angriffsmöglichkeiten
Clickjacking heißt so, weil man damit Klicks „entführen“ kann – click hijacking eben. Dank (?) HTML5 muss es dabei aber nicht bleiben. Paul Stone von

Clickjacking + HTML5 = Neue Angriffsmöglichkeiten

Clickjacking heißt so, weil man damit Klicks „entführen“ kann – click hijacking eben. Dank (?) HTML5 muss es dabei aber nicht bleiben. Paul Stone von Context Information Security hat auf der Sicherheitskonferenz „Black Hat Europe 2010“ demonstriert, was passiert wenn man HTML5 mit Clickjacking kombiniert [12]. Konkret setzt Paul Stone auf das Drag and Drop API.

Mit diesem ist es möglich, Daten an den Beginn einer Verschiebe-Operation zu setzen und die fallengelassenen Daten zu lesen. Und das ohne die Einschränkungen der Same Origin Policy, die Daten können beliebig über Domaingrenzen hinweg verschoben werden. Das erlaubt in Verbindung mit Clickjacking drei neue Angriffe:

  1. Text-Field Injection: Das Opfer führt eine Drag-and-Drop-Aktion aus und verschiebt dabei unbemerkt einen Text von der Seite des Angreifers in ein Formular auf einer anderen Website. Ein Angreifer kann das Opfer so Formulare auf fremden Seiten mit Texten seiner Wahl füllen lassen, danach kann über normales Clickjacking der „Sende“-Button ausgelöst werden. Ein Angriff könnte sich z. B. gegen einen Webmail-Benutzer richten, der unbemerkt eine Mail z. B. mit einem Spam-Text füllt und abschickt.
  2. Content Extraction: Mit einer ersten Drag-and-Drop-Aktion selektiert das Opfer einen Text auf einer Webseite, die es dann mit einer zweiten Drag-and-Drop-Aktion in ein Formular auf eine Seite des Angreifers verschiebt (dieses zweite Drag and Drop ist die oben beschriebene Text-Field Injection). Ein Angreifer kann so Daten ausspähen, auf die sein JavaScript-Code aufgrund der Same Origin Policy keinen Zugriff hat. Ein Beispiel für so einen Angriff folgt gleich.
  3. HTML-Quelltexte kopieren: Noch interessanter als die auf einer Webseite angezeigten Texte sind für einen Angreifer oft die zugrunde liegenden HTML-Quelltexte, die zusätzliche Informationen wie z. B. verstecke Formularfelder enthalten. Die meisten Browser stellen Editorfunktionen bereit, die das Bearbeiten des HTML-Codes erlauben und die z. B. durch Setzen des in HTML5 spezifizierten contentEditable-Attributs eines Objekts aktiviert werden können. Um den HTML-Quelltext auszuspähen, wird die Seite mittels Text-Field Injection in so einen editierbaren Bereich auf der Seite des Angreifers geschoben.

Paul Stone hat ein Tool entwickelt, mit dem Sie die neuen Angriffe testen können [13].

Ein praktischer Angriff: Cookiejacking

Was bei Paul Stone 2010 noch Theorie war, wurde 2011 zur Praxis: Eine von Rosario Valotta entdeckte Schwachstelle im Internet Explorer erlaubte das Laden von Cookies in einen iframe, von wo aus sie dann mit der von Paul Stone beschriebenen Content Extraction auf eine Webseite des Angreifers kopiert werden konnten. Das ganze nannte Rosario Valotta „Cookiejacking“, vorgestellt wurde der Angriff auf den Konferenzen Swiss Cyber Storm 2011 und Hack in the Box Amsterdam 2011 [14].


Auf den kommenden Seiten erwarten euch…:

  • iframe: Sandkasten gegen JavaScript
  • Schöne neue Funktionen, schöne neue Möglichkeiten
  • Info zum Autor Carsten Eilers
  • Links und Literatur
Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -