Drucksache: windows.developer Magazin 12.2014 - JavaScript und die Sicherheit

Geschrieben von Carsten Eilers am Montag, 10. November 2014 um 11:44

Im windows.developer 12.2014 ist ein Artikel über Angriffe zur Sicherheit von JavaScript erschienen. Darin geht es um zwei Themen: Zum einen um einige neue bzw. verbesserte Angriffe, die auf den Sicherheitskonferenzen vorgestellt wurden. Zum anderen um zwei Möglichkeiten, solchen Angriffen zu begegnen.

JavaScript erlaubt einige sehr gefährliche Angriffe. Um so wichtiger ist es, sich vor diesen zu schützen. Dabei ist "Keine Schwachstellen haben" schon mal deutlich mehr als die sprichwörtliche "halbe Miete", und die Content Security Policy hilft zusätzlich bei der Abwehr einer ganzen Reihe von Angriffen. Zwar nicht vor allem, aber das ist auch gar nicht vorgesehen. Die CSP ist eher eine "Mitigation" wie ASLR und DEP, sie erschwert die Ausnutzung von Schwachstellen so weit, dass die Cyberkriminellen hoffentlich aufgeben und sich leichtere Ziele suchen.

Betrachten wir ein ganz einfaches Beispiel, den CSP-Header
Content-Security-Policy: script-src 'self'
durch den festgelegt wird, dass Skripte nur vom eigenen Server nachgeladen werden können. Ein Angreifer muss also seinen gesamten Schadcode auf diesen Server praktizieren oder im Fall einer reflektierten XSS-Schachstelle über den betroffenen Parameter einschleusen. Ein deutlich einfacher einzuschleusendes Skript -Tag zum Laden einer JavaScript-Datei von seinem eigenen Server bringt ihn nicht ans Ziel, da das Laden dieses Skripts durch die CSP verhindert wird. Und das erschwert den Angriff schon deutlich.

Und hier noch die Links und Literaturverweise aus dem Artikel:

[1] Carsten Eilers: "HTML5 Security - SVG und Resident XSS"
[2] Rennie deGraaf; Black Hat USA 2014: "SVG: Exploiting Browsers without Image Parsing Bugs"
[3] Carsten Eilers; International PHP Conference 2009, Spring Edition: ""XSS-Schwachstelle kompromittiert Server" - Ungewöhnliche Exploits näher betrachtet"
[4] Hans-Michael Varbaek; Hack in the Box Amsterdam 2014: "XSSing Your Way to Shell"
[5] Ahamed Nafeez; Hack in the Box Amsterdam 2014: "JS Suicide: Using Javascript Security Features to Kill JS Security"
[6] Jeremiah Grossman, Matt Johansen; Black Hat USA 2013: "Million Browser Botnet"
[7] Carsten Eilers: "Der Angriff der Clickjacking-Würmer, "Likejacking" und "Buttonjacking""
[8] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"
[9] Carsten Eilers: "Drive-by-Infektionen durch SQL-Injection vorbereitet"
[10] Carsten Eilers: "Drive-by-Infektionen über präparierte Werbung"
[11] OWASP Enterprise Security API (ESAPI)
[12] OWASP ESAPI4JS
[13] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 1"
[14] W3C: Content Security Policy 1.0
[15] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 2"
[16] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 3"
[17] Carsten Eilers: "Schutzmaßnahmen: Content Security Policy gegen XSS, Teil 4"

Carsten Eilers

Trackbacks

Trackback-URL für diesen Eintrag

Dipl.-Inform. Carsten Eilers am Dienstag, 10. März 2015: Drucksache: windows.developer Magazin 4.2015 - Der Browser im Visier - ganz praktisch

Vorschau anzeigen

Im windows.developer 4.15 ist ein Artikel über Angriffe auf den Webbrowser erschienen. Die Schwachstellen in und Angriffe auf oder über den Webbrowser wurden im Windows Developer schon öfter behandelt, zum Beispiel in Ausgabe 3.

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30