Webseite von Bundesbehörde erlaubte Cross-Site-Scripting

Inhalt

Cross-Site-Scripting (XXS) ist seit vielen Jahren eine der meistgenutzten Angriffsvektoren auf Webseiten. Von einer Sicherheitslücke betroffen, die XXS-Attacken ermöglicht, sind leider noch immer zu viele Webseiten. Bis vor Kurzem betroffen: die Webseite des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA). Wir erklären, was es damit auf sich hat und was sich daraus lernen lässt.

Was ist Cross-Site-Scripting?

Bei XXS-Attacken nutzen Hacker eine fehlerhafte Validierung von Daten aus, sodass sie in einem vertrauenswürdigen Kontext (in diesem Fall die Webseite der Bundesbehörde) eigenen Code platzieren können. So lassen sie beispielsweise Daten abfischen, die ein Benutzer auf der Webseite eingibt.

Persistente und nicht-persistente XXS-Attacken

Unterschieden wird bei Cross-Site-Scripting zwischen persistenten und nicht-persistenten Attacken. Bei persistenten Attacken wird der Schadcode auf dem Webserver gespeichert, sodass jeder Besucher die manipulierte Webseite ausgeliefert bekommt. Nicht persistentes Cross-Site-Scripting manipuliert lediglich die lokale Kopie, die der Besucher der Webseite in seinem Browser lädt. Es ist beispielsweise darauf angewiesen, dass der Besucher der Webseite einen manipulierten Link öffnet. Der Link leitet ihn zwar auf die echte, vertrauenswürdige Webseite, die jedoch manipuliert ist.

Wovon war das BAFA betroffen?

Die Sicherheitslücke des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA) ermöglichte „nur“ nicht-persistente Attacken. Angreifer hätten Nutzer beispielsweise via Phishing-Mail auf die manipulierte Webseite locken müssen. Da der Nutzer jedoch einen Link zur echten Webseite erhalten hätte, wäre diese auch für aufmerksame Nutzer relativ schwer zu erkennen gewesen.

Die IT-Security-Lehre

Auch wenn Cross-Site-Scripting ebenso wie effiziente Gegenmaßnahmen wohl bekannt sind, ist mit einer Bundesbehörde wieder eine sicherheitskritische Institution betroffen. Der IT-Abteilung einer Bundesbehörde sollte ein solcher Lapsus eigentlich nicht unterlaufen. Im alltäglichen Administrationsstress großer IT-Infrastrukturen durch kleine Teams bleibt eine solche Sicherheitslücke jedoch schnell unentdeckt.

Ein dauerhaftes Security-Monitoring sowie regelmäßig durchgeführte automatisierte Penetrationstest helfen, Sicherheitslücken wie XXS-Möglichkeiten unmittelbar zu entdecken, um sie zu schließen. Mit Enginsight erhalten Sie beides aus einer Hand: Eine Live-Überwachung Ihrer Webseiten und einen autonomen Pentester. Darüber hinaus bietet Enginsight als All-in-one-Tool alle weiteren wichtigen Features, um gesamte IT-Infrastrukturen auf sichere Beine zu stellen.

Für alle Internet-Nutzer gilt: Noch mehr Vorsicht bei Phishing-Mails! Auch wenn ein Link auf die offizielle, vertrauenswürdige Webseite leitet, kann ein Betrugsversuch vorliegen.

Wollen Sie mehr über Enginsight erfahren?

Vereinbaren Sie einen Demo-Termin oder testen Sie kostenlos 14 Tage den vollen Funktionsumfang von Enginsight!

Share on linkedin
Share on twitter
Share on facebook
Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

Enginsight Logo