Ab dieser Folge geht es um die Frage, wie Sie XSS-Schwachstellen in Ihrer Webanwendung finden können. Das ist gar nicht so schwer, wie Sie vielleicht vermuten. Oder schwerer, als Sie auf den ersten Blick dachten. Je nachdem, für wie schwierig oder leicht Sie die Suche halten.
Zum Abschluss der Serie über XSS-Angriffe darf der Klassiker zur Demonstration von Angriffen auf und über den Webbrowser nicht fehlen: Das Browser Exploitation Framework BeEF.
Die Zero Day Initiative (ZDI) hat vier 0-Day-Schwachstellen im Internet Explorer veröffentlicht. Das passiert automatisch 120 Tage, nachdem die Schwachstelle den betreffenden Hersteller gemeldet wurde, sofern die Schwachstelle nicht zuvor gepatcht wurde. Microsoft hat diese Frist sowie eine zugestandene Verlängerung bei diesen vier Schwachstellen ungenutzt verstreichen lassen:
Update 24. Juli:
ZDI hat die Advisories gestern
überarbeitet:
Es ist nur die Mobile-Version des IE betroffen und nicht wie ursprünglich
gemeldet auch die Desktop-Version. In der hat Microsoft die Schwachstellen
bereits behoben.
Ende des Updates
Am 20. Juli hat Microsoft außer der Reihe ein zusätzliches Security Bulletin veröffentlicht: MS15-078. Eine Schwachstelle in der Windows Adobe Type Manager Library erlaubt die Ausführung eingeschleusten Codes, wenn zum Beispiel eine entsprechend präparierte Webseite aufgerufen oder eine entsprechend präparierte Datei geöffnet wird.
“Microsoft patcht außer der Reihe 0-Day-Schwachstelle” vollständig lesenWie man über XSS Informationen ausspäht, habe ich bereits am Beispiel von Cookies und Tastendrücke sowie Zugangsdaten und der Browser-History beschrieben. Es gibt aber auch noch fortgeschrittenere Möglichkeiten, mit Hilfe von in den Browser eingeschleusten JavaScript-Schadcode Informationen auszuspähen. Zum Beispiel über
Im Magazin Mobile Technology 3.2015 ist ein Artikel über die XARA-Schwachstelle in Mac OS X und iOS erschienen.
“Drucksache: Mobile Technology 3.2015 – Die böse XARA” vollständig lesenIm Magazin Mobile Technology 3.2015 ist ein Artikel über die Sicherheit von Cross-Plattform-Apps erschienen.
“Drucksache: Mobile Technology 3.2015 – Wie sicher sind Cross-Plattform-Apps?” vollständig lesenMicrosoft hat am gestrigen Patchday mal wieder einige 0-Day-Schwachstellen behoben. Darunter sowohl bereits für Angriffe ausgenutzte als auch “nur” öffentlich bekannte Schwachstellen.
Und auch Oracle hat an deren Patchday zugeschlagen und die aktuelle 0-Day-Schwachstelle in Java behoben.
Es gibt schon wieder neue 0-Day-Schwachstellen im Flash Player, diesmal gleich 2 Stück auf einmal. Wie die vorherige wurden sie in den Daten von Hacking Team gefunden, und zumindest eine der beiden Schwachstellen wird auch schon von Exploit-Kits ausgenutzt.
Update 14.7.2015:
Adobe hat ein
Security Bulletin
veröffentlicht, die Schwachstellen wurden in Version 18.0.0.209 behoben.
Ende des Updates
Ein weiterer 0-Day-Exploit betrifft Java, mit dem hat Hacking Team aber nichts zu tun (zumindest wurde er nicht in deren Daten gefunden).
Update 15.7.2015:
Oracle hat die Schwachstelle
behoben.
Für weitere Informationen siehe unten.
Ende des Updates
Im PHP Magazin 5.2015 ist ein Artikel über die neuen Angriffe auf TLS erschienen: Logjam und FREAK.
Die schwachen Krypto-Verfahren mit viel zu kurzen Schlüsseln, die viele Clients und Server aus historischen Gründen unterstützen, gefährden heutzutage die sichere Kommunikation im Internet
“Drucksache: PHP Magazin 5.2015 – Logjam und FREAK gefährden TLS” vollständig lesenIch glaube, Robert McArdle von TrendMicro hat das Konzept eines Botnets auf Webbrowser-Basis 2011 als einer der ersten beschrieben (PDF). So ein JavaScript-basierter Bot im Browser hat den Vorteil, dass er Betriebssystemunabhängig ist, sofern der angegriffene Browser die benötigten Funktionen bereit stellt.
In Adobes Flash Player gibt es mal wieder eine 0-Day-Schwachstelle, für die auch schon ein Exploit existiert. Und der wird bereits von Cyberkriminellen eingesetzt. Damit sind wir in diesem Jahr bei insgesamt sechs 0-Day-Exploits, fünf davon gehen auf die Kappe des Flash Players.
Außerdem gibt es noch eine 0-Day-Schwachstelle im Windows Kernel, aber die erlaubt “nur” eine Privilegieneskalation und wird zusammen mit der Schwachstelle im Flash Player ausgenutzt.
Im windows.developer 8.15 ist ein Artikel über das Testen von Schwachstellen, Workarounds und Patches mit Hilfe von Exploits erschienen.
“Drucksache: Windows Developer 8.15 – Einstieg in die Welt der Exploits” vollständig lesenÜber Cross-Site Scripting in den Browser eingeschleuster JavaScript-Schadcode kann zum Beispiel die DNS-Einstellungen des SOHO-Routers des lokalen Netzes manipulieren. Danach kann der Angreifer die Internetzugriffe seines Opfers auf beliebige Server umleiten.
Das ist schon ziemlich schlimm, es geht noch schlimmer. Der Angreifer könnte auch die Router-Firmware gegen eine manipulierte Version mit beliebigen Schadfunktionen austauschen. Während sich die DNS-Einstellungen leicht erkennen und auch wieder ändern lassen, wird man eine manipulierte Firmware nicht so einfach wieder los.
