Suchen

XSS-Schwachstellen auf zahlreichen Webseiten Cross-Site Scripting sträflich vernachlässigt

| Redakteur: Stephan Augsten

Cross-Site Scripting ist bei Cyber-Kriminellen eine gebräuchliche Methode, um Malware über das Internet zu verteilen. Die Gefahr, die von derartigen Anfälligkeiten in Web-Anwendungen ausgeht, wird aber nach wie vor unterschätzt, sagen die Sicherheitsforscher des Penetrationstest-Anbieters High-Tech Bridge.

Firma zum Thema

Obwohl seit den Neunzigern bekannt, ist Cross-Site Scripting noch immer eine große Gefahr im Internet.
Obwohl seit den Neunzigern bekannt, ist Cross-Site Scripting noch immer eine große Gefahr im Internet.
(Bild: Archiv)

Das Risiko von Cross-Site Scripting (XSS) wird nach Ansicht von High-Tech Bridge nicht einfach nur unterschätzt, es werde regelrecht ignoriert. Als Beleg dafür führen die Sicherheitsexperten die Schwachstellendatenbank von XSSPosed.org an. Diese führt fast 6.000 XSS-Anfälligkeiten und verweist dabei oft auf die Webseiten namhafter Unternehmen sowie Behörden.

In den vergangenen 24 Monaten hat High-Tech Bridge nach eigenen Angaben 1.000 Webseiten beauftragten Penetrationstests unterzogen. Auf siebzig Prozent der Webseiten wurden dabei XSS-Anfälligkeiten gefunden, die dazu dienen können, Besucher mit Malware zu infizieren. Neun von zehn XSS-Schwachstellen lassen sich so ausnutzen, dass selbst erfahrene Anwender keinen Verdacht schöpfen.

Nicht viel besser sieht es bei den Webanwendungen aus: 150 bekannte Applikationen, die auf rund 5.000 Webseiten zum Einsatz kommen, wurden von High-Tech Bridge auf Anfälligkeiten hin geprüft. 70 Prozent davon ließen sich durch XSS-Exploits so manipulieren, dass ein Angreifer am Ende administrativen Zugriff auf die Host-Server gehabt hätte.

Die Verwendung von SSL-Zertifikaten und HTTPS-Verbindungen habe dabei absolut keinen Einfluss auf die Sicherheit der Webanwendungen. Auch Web Application Firewalls (WAFs) helfen laut High-Tech Bridge nur bedingt, denn über 70 Prozent der gängigen Regelwerke ließen sich mithilfe von Verschleierungstechniken umgehen. 30 Prozent der XSS-Exploits seien beispielsweise in Javascript-Code verpackt und würden dementsprechend die WAF passieren.

Weitere Fehlkonfigurationen, die XSS-Attacken begünstigen, betreffen unter anderem das Sitzungs- und das Cookie-Management. So verzichten 85 Prozent der Webseiten darauf, die User Session mit der Anwender-IP zu verknüpfen. Darüber hinaus verwendet nur ein Fünftel der Webseiten httpOnly-Cookies und wiederum 40 Prozent davon erlauben HTTP-Tracing.

Zusätzliche Informationen zu Website-Anfälligkeiten im Allgemeinen und XSS-Schwachstellen im Speziellen finden sich auf der Webseite von High-Tech Bridge.

(ID:43075975)