MENU Schließen
Schließen

Webseite von Bundesbehörde erlaubte Cross-Site-Scripting

Cross-Site-Scripting (XXS) ist seit vielen Jahren eine der meistgenutzten Angriffsvektoren auf Webseiten. Von einer Sicherheitslücke betroffen, die XXS-Attacken ermöglicht, sind leider noch immer zu viele Webseiten. Bis vor Kurzem betroffen: die Webseite des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA). Wir erklären, was es damit auf sich hat und was sich daraus lernen lässt.

Cross-Site-Scripting (XXS) ist seit vielen Jahren eine der meistgenutzten Angriffsvektoren auf Webseiten. Von einer Sicherheitslücke betroffen, die XXS-Attacken ermöglicht, sind leider noch immer zu viele Webseiten. Bis vor Kurzem betroffen: die Webseite des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA). Wir erklären, was es damit auf sich hat und was sich daraus lernen lässt.

Was ist Cross-Site-Scripting?

Bei XXS-Attacken nutzen Hacker eine fehlerhafte Validierung von Daten aus, sodass sie in einem vertrauenswürdigen Kontext (in diesem Fall die Webseite der Bundesbehörde) eigenen Code platzieren können. So lassen sie beispielsweise Daten abfischen, die ein Benutzer auf der Webseite eingibt.

Details zum Cross-Site-Scripting im Enginsight-Glossar

Persistente und nicht-persistente XXS-Attacken

Unterschieden wird bei Cross-Site-Scripting zwischen persistenten und nicht-persistenten Attacken. Bei persistenten Attacken wird der Schadcode auf dem Webserver gespeichert, sodass jeder Besucher die manipulierte Webseite ausgeliefert bekommt. Nicht persistentes Cross-Site-Scripting manipuliert lediglich die lokale Kopie, die der Besucher der Webseite in seinem Browser lädt. Es ist beispielsweise darauf angewiesen, dass der Besucher der Webseite einen manipulierten Link öffnet. Der Link leitet ihn zwar auf die echte, vertrauenswürdige Webseite, die jedoch manipuliert ist.

Wovon war das BAFA betroffen?

Die Sicherheitslücke des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA) ermöglichte „nur“ nicht-persistente Attacken. Angreifer hätten Nutzer beispielsweise via Phishing-Mail auf die manipulierte Webseite locken müssen. Da der Nutzer jedoch einen Link zur echten Webseite erhalten hätte, wäre diese auch für aufmerksame Nutzer relativ schwer zu erkennen gewesen.

Die IT-Security-Lehre

Auch wenn Cross-Site-Scripting ebenso wie effiziente Gegenmaßnahmen wohl bekannt sind, ist mit einer Bundesbehörde wieder eine sicherheitskritische Institution betroffen. Der IT-Abteilung einer Bundesbehörde sollte ein solcher Lapsus eigentlich nicht unterlaufen. Im alltäglichen Administrationsstress großer IT-Infrastrukturen durch kleine Teams bleibt eine solche Sicherheitslücke jedoch schnell unentdeckt.

Ein dauerhaftes Security-Monitoring sowie regelmäßig durchgeführte automatisierte Penetrationstest helfen, Sicherheitslücken wie XXS-Möglichkeiten unmittelbar zu entdecken, um sie zu schließen. Mit Enginsight erhalten Sie beides aus einer Hand: Eine Live-Überwachung Ihrer Webseiten und einen automatischen Pentest. Darüber hinaus bietet Enginsight als All-in-one-Tool alle weiteren wichtigen Features, um gesamte IT-Infrastrukturen auf sichere Beine zu stellen.

Für alle Internet-Nutzer gilt: Noch mehr Vorsicht bei Phishing-Mails! Auch wenn ein Link auf die offizielle, vertrauenswürdige Webseite leitet, kann ein Betrugsversuch vorliegen.

Wollen Sie mehr über Enginsight erfahren?

Vereinbaren Sie einen Demo-Termin oder testen Sie kostenlos 14 Tage den vollen Funktionsumfang von Enginsight!

Weitere Beiträge im Enginsight Blog
Die wahren Kosten eines Cyberangriff vs. Präventsionskosten - ein Fallbeispiel

Cybersecurity als Investition

Warum modernste Maßnahmen weniger kosten als die Folgen eines erfolgreichen Cyberangriffs Die Bedrohungslage steigt. Immer häufiger und immer ausgefeilter werden die Angriffe. So gut wie

White Hat

Mini-Pentest oder manueller Pentest?

Ist ein DIY-Pentest eine wirksame Cybersecurity-Maßnahme? Die zunehmende Komplexität in der Cybersicherheit fordert auch den Einsatz von neuen Technologien. Einfacher, besser… und sicherer? Es kommen

Security-Trends und Themen im Jahr 2024

Security-Trends und -Thesen 2024

Was sagen die Experten zu besonderen Bedrohungen, möglichen Schutzmechanismen/-technologien und den neuen Regularien? 2024 wird im Bereich Informations- und Cybersicherheit wohl wieder ein extrem anstrengendes

Enginsight Logo