Drucksache: windows.developer Magazin 12.2014 - JavaScript und die Sicherheit
Im windows.developer 12.2014 ist ein Artikel über Angriffe zur Sicherheit von JavaScript erschienen. Darin geht es um zwei Themen: Zum einen um einige neue bzw. verbesserte Angriffe, die auf den Sicherheitskonferenzen vorgestellt wurden. Zum anderen um zwei Möglichkeiten, solchen Angriffen zu begegnen.
JavaScript erlaubt einige sehr gefährliche Angriffe. Um so wichtiger ist es, sich vor diesen zu schützen. Dabei ist "Keine Schwachstellen haben" schon mal deutlich mehr als die sprichwörtliche "halbe Miete", und die Content Security Policy hilft zusätzlich bei der Abwehr einer ganzen Reihe von Angriffen. Zwar nicht vor allem, aber das ist auch gar nicht vorgesehen. Die CSP ist eher eine "Mitigation" wie ASLR und DEP, sie erschwert die Ausnutzung von Schwachstellen so weit, dass die Cyberkriminellen hoffentlich aufgeben und sich leichtere Ziele suchen.
Betrachten wir ein ganz einfaches Beispiel, den CSP-Header
Content-Security-Policy: script-src 'self'
durch den festgelegt wird, dass Skripte nur vom eigenen Server nachgeladen
werden können. Ein Angreifer muss also seinen gesamten Schadcode auf
diesen Server praktizieren oder im Fall einer reflektierten
XSS-Schachstelle über den betroffenen Parameter einschleusen. Ein
deutlich einfacher einzuschleusendes Skript -Tag zum Laden einer
JavaScript-Datei von seinem eigenen Server bringt ihn nicht ans Ziel, da
das Laden dieses Skripts durch die CSP verhindert wird. Und das erschwert
den Angriff schon deutlich.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "HTML5 Security - SVG und Resident XSS"
- [2] Rennie deGraaf; Black Hat USA 2014: "SVG: Exploiting Browsers without Image Parsing Bugs"
- [3] Carsten Eilers; International PHP Conference 2009, Spring Edition: ""XSS-Schwachstelle kompromittiert Server" - Ungewöhnliche Exploits näher betrachtet"
- [4] Hans-Michael Varbaek; Hack in the Box Amsterdam 2014: "XSSing Your Way to Shell"
- [5] Ahamed Nafeez; Hack in the Box Amsterdam 2014: "JS Suicide: Using Javascript Security Features to Kill JS Security"
- [6] Jeremiah Grossman, Matt Johansen; Black Hat USA 2013: "Million Browser Botnet"
- [7] Carsten Eilers: "Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking""
- [8] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"
- [9] Carsten Eilers: "Drive-by-Infektionen durch SQL-Injection vorbereitet"
- [10] Carsten Eilers: "Drive-by-Infektionen über präparierte Werbung"
- [11] OWASP Enterprise Security API (ESAPI)
- [12] OWASP ESAPI4JS
- [13] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 1"
- [14] W3C: Content Security Policy 1.0
- [15] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 2"
- [16] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 3"
- [17] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 4"
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 4.2015 - Der Browser im Visier - ganz praktisch
Vorschau anzeigen