XSS-Schwachstellen auf zahlreichen Webseiten

Cross-Site Scripting sträflich vernachlässigt

| Redakteur: Stephan Augsten

Obwohl seit den Neunzigern bekannt, ist Cross-Site Scripting noch immer eine große Gefahr im Internet.
Obwohl seit den Neunzigern bekannt, ist Cross-Site Scripting noch immer eine große Gefahr im Internet. (Bild: Archiv)

Cross-Site Scripting ist bei Cyber-Kriminellen eine gebräuchliche Methode, um Malware über das Internet zu verteilen. Die Gefahr, die von derartigen Anfälligkeiten in Web-Anwendungen ausgeht, wird aber nach wie vor unterschätzt, sagen die Sicherheitsforscher des Penetrationstest-Anbieters High-Tech Bridge.

Das Risiko von Cross-Site Scripting (XSS) wird nach Ansicht von High-Tech Bridge nicht einfach nur unterschätzt, es werde regelrecht ignoriert. Als Beleg dafür führen die Sicherheitsexperten die Schwachstellendatenbank von XSSPosed.org an. Diese führt fast 6.000 XSS-Anfälligkeiten und verweist dabei oft auf die Webseiten namhafter Unternehmen sowie Behörden.

In den vergangenen 24 Monaten hat High-Tech Bridge nach eigenen Angaben 1.000 Webseiten beauftragten Penetrationstests unterzogen. Auf siebzig Prozent der Webseiten wurden dabei XSS-Anfälligkeiten gefunden, die dazu dienen können, Besucher mit Malware zu infizieren. Neun von zehn XSS-Schwachstellen lassen sich so ausnutzen, dass selbst erfahrene Anwender keinen Verdacht schöpfen.

Nicht viel besser sieht es bei den Webanwendungen aus: 150 bekannte Applikationen, die auf rund 5.000 Webseiten zum Einsatz kommen, wurden von High-Tech Bridge auf Anfälligkeiten hin geprüft. 70 Prozent davon ließen sich durch XSS-Exploits so manipulieren, dass ein Angreifer am Ende administrativen Zugriff auf die Host-Server gehabt hätte.

Die Verwendung von SSL-Zertifikaten und HTTPS-Verbindungen habe dabei absolut keinen Einfluss auf die Sicherheit der Webanwendungen. Auch Web Application Firewalls (WAFs) helfen laut High-Tech Bridge nur bedingt, denn über 70 Prozent der gängigen Regelwerke ließen sich mithilfe von Verschleierungstechniken umgehen. 30 Prozent der XSS-Exploits seien beispielsweise in Javascript-Code verpackt und würden dementsprechend die WAF passieren.

Weitere Fehlkonfigurationen, die XSS-Attacken begünstigen, betreffen unter anderem das Sitzungs- und das Cookie-Management. So verzichten 85 Prozent der Webseiten darauf, die User Session mit der Anwender-IP zu verknüpfen. Darüber hinaus verwendet nur ein Fünftel der Webseiten httpOnly-Cookies und wiederum 40 Prozent davon erlauben HTTP-Tracing.

Zusätzliche Informationen zu Website-Anfälligkeiten im Allgemeinen und XSS-Schwachstellen im Speziellen finden sich auf der Webseite von High-Tech Bridge.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43075975 / Mobile- und Web-Apps)