Web

Web-Gefahr: Experten warnen vor Cross Site Scripting

03.09.2001

MÜNCHEN (COMPUTERWOCHE) - Jeremiah Grossmann, Berater bei Whitehats, hat Ende vergangener Woche auf ein neues Internet-Sicherheitsproblem aufmerksam gemacht. Mit nur einer einzigen Codezeile gelang es ihm, auf verschiedenen externen Websites - darunter unter anderem Microsofts populärem Messaging-Dienst Hotmail - unerwünschten Code auszuführen. Grossmann nutzte dazu die Möglichkeiten des so genannten Cross Site Scripting (CSS, nicht zu verwechseln mit Cascading Style Sheets). Er informierte die Betreiber der von ihm erfolgreich attackierten Sites vorab, so dass diese ihre Angebote ändern konnten, bevor der Experte seine Erkenntnisse öffentlich machte.

"Entwickler von Web-Anwendungen und Sicherheitsbeauftragte sollten alle HTML-Filter in ihren Web-Anwendungen überprüfen", schreibt Grossmann in seiner Warnung. "Gefährdet sind unter anderem Webmail, Online-Auktionen, Foren, Webchats und Gästebücher." Andere Experten beurteilen das Gefahrenpotenzial unterschiedlich. David Litchfield von @Stake hält es für weniger relevant, weil das Angriffsziel immer individuell festzulegen sei: "CSS ist sicher ein Problem. Ich glaube aber nicht, dass es bereits viele Betroffene gibt." Kollege Gunnar Ollman von Internet Security Systems mag die Sache nicht so auf die leichte Schulter nehmen. Die stetig wachsende Funktionalität vieler Sites werde solche Problem künftig häufiger hervorbringen: "Weil immer mehr Funktionen zusammengelegt werden, steigt die Wahrscheinlichkeit solcher Angriffe - und einfacher wird das Ganze auch."