In viel genutzten Angeboten nimmt die Flut der Sicherheitslücken kein Ende. Twitter hat am Wochenende ein Cross-Site-Scripting-Problem beseitigt, das Levent Kayan entdeckt und gemeldet hatte. Angreifer konnten über diese Lücke Zugangsdaten stehlen.

Bei der Lücke handelte es sich um sogenanntes "reflexives XSS". Dabei befindet sich der auszuführende Code in der URL, die an den Server übertragen wird. Die Web-Applikation filtert die Eingabe nicht ausreichend und liefert den Code zurück an den Browser des Anwenders. Dieser führt den JavaScript-Code dann mit den Rechten der Web-Seite aus. Einfache Demos geben nur Meldungen aus und sehen harmlos aus, jedoch steckt mehr dahinter.

Wenn es einem Angreifer gelingt, Anwender dazu zu bringen, einen von ihm präparierten Link anzuklicken, kann er damit dessen Sitzungs-Token und den Account übernehmen. Er nutzt das dann oft, um eine Nachricht im Namen des Opfers zu posten und damit wiederum dessen Freunde reinzulegen. Diesen Angriff kann er über Link-Verkürzer wie bit.ly so verschleiern, dass er kein Misstrauen weckt.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE