computerwoche.de

Security

Cross-Site Scripting

Websites von Sicherheitsanbietern sind anfällig

16.06.2008
Von 
Vice President Software & SaaS Markets PAC Germany
Alle Posts des Autors
Die Web-Seiten der IT-Security-Spezialisten McAfee, Symantec und Versign sind laut einem Bericht der Organisation XSSED anfällig für Cross-Site Scripting. (XSS) Besucher dieser Web-Angebote könnten sich laut den Sicherheitsexperten Schadcode einfangen. Damit setzt sich der Trend, Malware über legitime Web-Seiten, dramatisch fort.

In ihrem Bericht führt XSSED insgesamt 30 Cross-Site-Scripting-Schwachstellen der Websites von McAfee, Symantec und Verisign auf. Das Xssed-Projekt hat sich darauf spezialisiert, über Cross-Site-Scripting-Gefahren im Web zu informieren.

Laut XSSED lassen sich die aufgedeckten Sicherheitslücken dazu verwenden, Besucher einer Site auf andere Websites umzuleiten oder auf den Rechnern der Surfer Schadprogramme (Malware) zu installieren.

Cross-Site Scripting dient Hackern dazu, Websites für ihre Zwecke zu manipulieren, um beispielsweise Daten von Besuchern zu stehlen. Neben Internet-Seiten sind auch Web-Browser für XSS anfällig.

Vermehrt suchen Angreifer ihre Opfer auf legitimen Web-Seiten. So verbreitete Malware lässt sich weit schwieriger bekämpfen. Nun zeigt der XSSED-Bericht, dass selbst namhafte Sicherheitsfirmen davor nicht gefeit sind. Die betroffenen Anbieter arbeiten daran, die Schwachstellen zu beseitigen, großenteils ist dies bereits geschehen.

Bereits im Januar hatte XSSED festgestellt, dass 60 Websites, die von dem "Scanalert Service" von McAfee den Status "Hacker Safe" erhalten hatten, anfällig waren für XSS-Angriffe. McAfee und andere Sicherheitsanbieter spielten daraufhin die Risiken der Schwachstellen herunter. Weit bedrohlicher sei es aus ihrer Sicht, wenn es Angreifen gelingen würde, auf Kundendaten zuzugreifen.

In den letzten Monaten machten einige XSS-Attacken Schlagzeilen. Betroffen waren unter anderem der Bezahldienst Paypal, die Web-Community Myspace sowie eine Großbank in Italien.

Laut einem Bericht von Scansafe, einem Software-as-a-Service-Anbieter von Web-Sicherheitslösungen, stammten fast 70 Prozent aller Malware, die im Mai dieses Jahres geblockt wurden, den legitimen Websites. Hacker hatten heimlich dort Schadprogramme hinterlegt. Scansafe zufolge hat sich die Anzahl solcher Umtriebe gegenüber dem Vorjahr damit vervierfacht.

Die Angreifer wollen mit solchen Aktionen unter anderem Benutzerdaten und Einwahlinformationen stehlen sowie das Vertrauen der Besucher in die jeweilige Website missbrauchen. Hierzu fügen sie in kurzer Zeit Malware auf vielen anfälligen Sites ein. Gegenmaßnahmen fallen den Site-Betreibern Scansafe zufolge dagegen weniger leicht. Schließlich kann der Anbieter des Web-Angebots seine Seite in der Regel nicht einfach vom Netz nehmen.

Hinweise darauf, wie Sie Ihre Website schützen können, finden Sie im Beitrag über Schutzmaßnahmen für Web-Applikationen.