In dieser Woche berichten der Spiegel und Europas größte Computer-zeitschrift ct, dass ein 16-jähriger Schüler auf 17 Internetseiten von Banken so genannte Cross Site Scripting Lücken (XSS) ausnutzen konnte. Cross Site Scripting ist die Seuche des Web2.0. Weil das Finden solcher Fehler sehr aufwändig ist, bietet CORONIC jetzt einen besonders attraktiven Service zum automatischen Bekämpfen von Cross Site Scripting.
Das Internet der zweiten Generation ist durch JavaScript und iFrames schnell und interaktiv geworden. Diese scriptbasierten Technologien sind jedoch anfällig für Cross-Site-Scripting und Hacker-Angriffe. Ein typisches Beispiel wäre ein Besucher, der sich auf einer Internetseite für ein Gewinnspiel anmeldet, oder aber sich in einem Forum oder einer Mailingliste registriert. Während der Registrierung trägt er in das Formularfeld "Vorname" statt seines Namens schädlichen Programmcode ein. Schreibt der Angreifer jetzt einen Beitrag im Forum, kommentiert einen Artikel oder taucht einfach nur in der Liste der Mitspieler des Gewinnspiels auf, so wird immer dort, wo eigentlich der Vorname angezeigt werden sollte, das Schadprogramm aktiviert. Dieses Ausführen von Skripten (Programmen) Dritter in einer fremden Webseite wird Cross Site Scripting genannt. Der denkbar harmloseste Fall einer solchen Manipulation, ist das unerwünschte Einblenden von Inhalten, wie verschmähenden Texten oder anstößigen Bildern. Im schlimmsten Fall erlangt der Angreifer über Cross Site Scripting Zugriff auf die gesamte Internetseite und alle damit verbundenen Kundendaten.
Weitere Informationen und Beispiele finden Sie unter: http://www.coronic.de/...
Cross Site Scripting Sicherheitslücken entdeckt man normalerweise nur durch das manuelle Kontrollieren des gesamten Quellcodes einer Internetseite. Dieser Vorgang ist sehr aufwändig und wird daher von den meisten Seiten-Betreibern nicht durchgeführt - zumal Sicherheitsdienstleister hierfür gerne mehrere Tage bis einige Wochen Leistungsumfang berechnen und professionell Tools etliche Tausend Euro kosten. So bleiben die Lücken oft monatelang unerkannt, bis sie eines Tages von Spaßvögeln oder aber von Kriminellen ausgenutzt werden.
CORONIC wird in einer einmaligen befristeten Sicherheitsaktion den XSS Lücken den Kampf ansagen und automatische Testdurchläufe mit professionellen Security-Tools zum Schnäppchenpreis anbieten. So werden bekannte Sicherheitslücken in Webanwendungen strukturiert und schnell aufgespürt. Erfahrungsgemäß lassen sich deutlich über 90 % der üblichen Schwachstellen so dingfest machen. Im Rahmen der Sicherheitsaktion untersucht CORONIC die betreffende Internetseite automatisch auf das Vorhandensein von fehlerhaft programmierten Webanwendungen. Das besondere Augenmerk gilt dem Bereich Cross Site Scripting. Im Sicherheitspaket enthalten sind:
- Vorgespräch (Festlegen der Testseite, Abstimmung des Zeitplans)
- Automatische Suchläufe (u. a. Acunetix Web Vulnerability Scanner)
- Manuelle Nachkontrolle (bei schweren Fehlern)
- Dokumentation der Testergebnisse (Scanreport)
- Erstellung von schriftlichen Handlungsempfehlungen (Best practice)
- Abschlussgespräch (Klärung von Fragen)
Das Internet der zweiten Generation ist durch JavaScript und iFrames schnell und interaktiv geworden. Diese scriptbasierten Technologien sind jedoch anfällig für Cross-Site-Scripting und Hacker-Angriffe. Ein typisches Beispiel wäre ein Besucher, der sich auf einer Internetseite für ein Gewinnspiel anmeldet, oder aber sich in einem Forum oder einer Mailingliste registriert. Während der Registrierung trägt er in das Formularfeld "Vorname" statt seines Namens schädlichen Programmcode ein. Schreibt der Angreifer jetzt einen Beitrag im Forum, kommentiert einen Artikel oder taucht einfach nur in der Liste der Mitspieler des Gewinnspiels auf, so wird immer dort, wo eigentlich der Vorname angezeigt werden sollte, das Schadprogramm aktiviert. Dieses Ausführen von Skripten (Programmen) Dritter in einer fremden Webseite wird Cross Site Scripting genannt. Der denkbar harmloseste Fall einer solchen Manipulation, ist das unerwünschte Einblenden von Inhalten, wie verschmähenden Texten oder anstößigen Bildern. Im schlimmsten Fall erlangt der Angreifer über Cross Site Scripting Zugriff auf die gesamte Internetseite und alle damit verbundenen Kundendaten.
Weitere Informationen und Beispiele finden Sie unter: http://www.coronic.de/...
Cross Site Scripting Sicherheitslücken entdeckt man normalerweise nur durch das manuelle Kontrollieren des gesamten Quellcodes einer Internetseite. Dieser Vorgang ist sehr aufwändig und wird daher von den meisten Seiten-Betreibern nicht durchgeführt - zumal Sicherheitsdienstleister hierfür gerne mehrere Tage bis einige Wochen Leistungsumfang berechnen und professionell Tools etliche Tausend Euro kosten. So bleiben die Lücken oft monatelang unerkannt, bis sie eines Tages von Spaßvögeln oder aber von Kriminellen ausgenutzt werden.
CORONIC wird in einer einmaligen befristeten Sicherheitsaktion den XSS Lücken den Kampf ansagen und automatische Testdurchläufe mit professionellen Security-Tools zum Schnäppchenpreis anbieten. So werden bekannte Sicherheitslücken in Webanwendungen strukturiert und schnell aufgespürt. Erfahrungsgemäß lassen sich deutlich über 90 % der üblichen Schwachstellen so dingfest machen. Im Rahmen der Sicherheitsaktion untersucht CORONIC die betreffende Internetseite automatisch auf das Vorhandensein von fehlerhaft programmierten Webanwendungen. Das besondere Augenmerk gilt dem Bereich Cross Site Scripting. Im Sicherheitspaket enthalten sind:
- Vorgespräch (Festlegen der Testseite, Abstimmung des Zeitplans)
- Automatische Suchläufe (u. a. Acunetix Web Vulnerability Scanner)
- Manuelle Nachkontrolle (bei schweren Fehlern)
- Dokumentation der Testergebnisse (Scanreport)
- Erstellung von schriftlichen Handlungsempfehlungen (Best practice)
- Abschlussgespräch (Klärung von Fragen)
