Cross-Site-Scripting (XXS) ist seit vielen Jahren eine der meistgenutzten Angriffsvektoren auf Webseiten. Von einer Sicherheitslücke betroffen, die XXS-Attacken ermöglicht, sind leider noch immer zu viele Webseiten. Bis vor Kurzem betroffen: die Webseite des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA). Wir erklären, was es damit auf sich hat und was sich daraus lernen lässt.
Was ist Cross-Site-Scripting?
Bei XXS-Attacken nutzen Hacker eine fehlerhafte Validierung von Daten aus, sodass sie in einem vertrauenswürdigen Kontext (in diesem Fall die Webseite der Bundesbehörde) eigenen Code platzieren können. So lassen sie beispielsweise Daten abfischen, die ein Benutzer auf der Webseite eingibt.
Details zum Cross-Site-Scripting im Enginsight-Glossar
Persistente und nicht-persistente XXS-Attacken
Unterschieden wird bei Cross-Site-Scripting zwischen persistenten und nicht-persistenten Attacken. Bei persistenten Attacken wird der Schadcode auf dem Webserver gespeichert, sodass jeder Besucher die manipulierte Webseite ausgeliefert bekommt. Nicht persistentes Cross-Site-Scripting manipuliert lediglich die lokale Kopie, die der Besucher der Webseite in seinem Browser lädt. Es ist beispielsweise darauf angewiesen, dass der Besucher der Webseite einen manipulierten Link öffnet. Der Link leitet ihn zwar auf die echte, vertrauenswürdige Webseite, die jedoch manipuliert ist.
Wovon war das BAFA betroffen?
Die Sicherheitslücke des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA) ermöglichte „nur“ nicht-persistente Attacken. Angreifer hätten Nutzer beispielsweise via Phishing-Mail auf die manipulierte Webseite locken müssen. Da der Nutzer jedoch einen Link zur echten Webseite erhalten hätte, wäre diese auch für aufmerksame Nutzer relativ schwer zu erkennen gewesen.
Die IT-Security-Lehre
Auch wenn Cross-Site-Scripting ebenso wie effiziente Gegenmaßnahmen wohl bekannt sind, ist mit einer Bundesbehörde wieder eine sicherheitskritische Institution betroffen. Der IT-Abteilung einer Bundesbehörde sollte ein solcher Lapsus eigentlich nicht unterlaufen. Im alltäglichen Administrationsstress großer IT-Infrastrukturen durch kleine Teams bleibt eine solche Sicherheitslücke jedoch schnell unentdeckt.
Ein dauerhaftes Security-Monitoring sowie regelmäßig durchgeführte automatisierte Penetrationstest helfen, Sicherheitslücken wie XXS-Möglichkeiten unmittelbar zu entdecken, um sie zu schließen. Mit Enginsight erhalten Sie beides aus einer Hand: Eine Live-Überwachung Ihrer Webseiten und einen automatischen Pentest. Darüber hinaus bietet Enginsight als All-in-one-Tool alle weiteren wichtigen Features, um gesamte IT-Infrastrukturen auf sichere Beine zu stellen.
Für alle Internet-Nutzer gilt: Noch mehr Vorsicht bei Phishing-Mails! Auch wenn ein Link auf die offizielle, vertrauenswürdige Webseite leitet, kann ein Betrugsversuch vorliegen.
Wollen Sie mehr über Enginsight erfahren?
Vereinbaren Sie einen Demo-Termin oder testen Sie kostenlos 14 Tage den vollen Funktionsumfang von Enginsight!
