Die 5 häufigsten Frontend-Sicherheitslücken
Kommentare

Die vergangenen Monat erfolgten Cross-Site-Scripting (XSS)-Attacken auf Tweetdeck nahm der Frontend-Entwickler Tim Evko zum Anlass, um sich in einem Artikel auf Web Design Weekly mit dem Thema Frontend-Sicherheit

Die vergangenen Monat erfolgten Cross-Site-Scripting (XSS)-Attacken auf Tweetdeck nahm der Frontend-Entwickler Tim Evko zum Anlass, um sich in einem Artikel auf Web Design Weekly mit dem Thema Frontend-Sicherheit zu beschäftigen.

Frontend-Sicherheitslücken können von Angreifern ausgenützt werden, ohne dass sie Zugriff auf den Server, die Datenbank oder den Hosting-Provider haben, weshalb sie für Webentwickler höchste Priorität haben sollten.

Frontend-Security im Blick

Das Thema Frontend-Security beschäftigt das Web natürlich nicht erst seit gestern – bereits 2012 hatte Carsten Eilers einen Artikel über HTML5 auf Hackersicht verfasst. Und auch die OWASP Top-10 wurde ausführlich in einer dreiteiligen Serie im PHP Magazin behandelt.

Doch kommen wir zurück zum Ausgangspunkt – die 5 häufigsten Sicherheitslücken und mögliche Schutzmaßnahmen sind laut Evko die Folgenden:

Client XSS

Die Mehrzahl der XXS-Sicherheitslücken treten dann auf, wenn Webseiten oder Apps es dem User ermöglichen, in Eingabefeldern ausführbaren Code unterzubringen – im Fall von Tweetdeck wurde beispielsweise JavaScript-Code mittels eines Tweets verbreitet. Webentwickler sollten also von vornherein auf Frameworks bzw. Services zurückgreifen, die von Haus aus gegen derartige Attacken geschützt sind.

Iframes

Iframes werden genutzt, um selbstständige Dokumente in einem vordefinierten Bereich des Browsers anzuzeigen. Stammt der Inhalt des Iframes von der eigenen Domain muss sichergestellt werden, dass er gegen Attacken abgesichert ist. Erreicht werden kann dies durch die Nutzung des sandbox-Attributs oder des X-Frame-Options security header.

Cross-Origin Resource Sharing (CORS)

CORS ermöglicht es Webbrowsern, Cross-Origin-Requests zu senden. Bei unachtsamer Verwendung kann CORS dazu führen, dass jeder einen Request an den Server senden kann; der Response kann dabei im schlimmsten Fall sensible Informationen beinhalten.

Cookies

Cookies können anfällig für XSS- und CORS-Sicherheitslücken sein; außerdem sind sie standardmäßig unverschlüsselt, d.h. Passwörter werden über HTML im Klartext gespeichert. Ein Tutorial von Treehouse behandelt mögliche Gegenmaßnahmen.

HTML5

HTML5-Elemente weisen von Zeit zu Zeit verschiedene Sicherheitslücken auf; diese werden von der Mehrzahl der Browser in der Regel jedoch recht schnell geschlossen. Auf html5sec.org findet sich ein Überblick über verwundbare HTML5-Elemente und darüber, welche Browser anfällig für diese sind.

Aufmacherbild: <a href="http://www.shutterstock.com/pic.mhtml?id=171929321&src=id" title="Internet security concept open red padlock virus or unsecured with threat of hacking von Shutterstock / Uhrheberrecht: Brian A Jackson “ class=“elf-external elf-icon elf-external elf-icon“ rel=“nofollow nofollow“>Internet security concept open red padlock virus or unsecured with threat of hacking von Shutterstock / Urheberrecht: Brian A Jackson

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -