Alles andere als ausgezeichnet

HTML5 bietet neue Angriffsflächen

Seite: 2/3

Firmen zum Thema

Clickjacking

Angreifer können das Feature des iFrame ausnutzen, um Abwehrmaßnahmen gegen Clickjacking zu umgehen, die von herkömmlichen HTML-Anwendungen verwendet werden. Clickjacking spielt beim CSRF eine wichtige Rolle.

Dabei wird der Nutzer dazu überlistet, eine gefälschte Webseite zu nutzen, die in einem unsichtbaren iFrame dargestellt wird. Der Nutzer kann also den Unterschied zwischen „echt“ und „gefälscht“ nicht erkennen, gibt daher nichtsahnend sein Passwort ein.

Bildergalerie
Bildergalerie mit 8 Bildern

Das Sandboxing von iFrames muss deshalb laut Jagdale vom legitimen Entwickler von vornherein implementiert werden. Außerdem muss er X-Frame-Optionen nutzen, um sich gegen Cross-Frame-Attacken („Frame-busting“) zu schützen; zudem ist der deklarative Sicherheitsansatz zu nutzen, der von allen verbreiteten Browsern unterstützt wird.

Eine Umfrage ergab jedoch das niederschmetternde Ergebnis, dass von 100.000 in Alexa gelisteten Webseiten nur 4.600 die genannten Schutzmaßnahmen verwendeten. Gut ein Drittel (38 Prozent) der Sites nutzen die neue X-Frame-Option, 62 Prozent hingegen die alte, anfällige Möglichkeit.

XHR

Die API XMLHttpRequest (XHR) wird bereits missbraucht, um CSRF vollständig zu automatisieren, wodurch wiederum der Einsatz von Clickjacking-Techniken überflüssig wird. „Get“-Requests sind das Ziel. Der sicherheitsbewusste Entwickler muss verbieten, dass vorhandene Formularelemente modifiziert werden. Das Umgehen von Tokens gegen CSRF erforderte bislang die Interaktion mit dem Opfer.

CORS

Die Funktion des quellenübergreifenden Teilens von Ressourcen (Cross-Origin Resource Sharing, CORS) macht nach Ansicht der Expertin Prajakta Jagdale die Ausnutzung von CSRF zu einem „Kinderspiel“ („piece of cake“). Die Domain-übergreifende Kommunikation, die CORS erlaubt, lässt sich im Hinblick auf Zugriff und Nutzereingaben ausnutzen und erfordert lediglich die clevere Anwendung der Befehle PUT, SEND, POST und DELETE. „Ein entsprechendes Request-Script hat vollen Zugriff auf den Inhalt der Nutzerantwort“, beklagte Jagdale.

Um Abhilfe zu schaffen, müsse die CORS-Funktion von der Ziel-Anwendung bzw. ihrem Server freigegeben werden. Nur so ließen sich Policies durchsetzen, und Policies kann der Verantwortliche mit Hilfe entsprechender HTTP-Response-Header steuern.

(ID:42304348)