Mit XXS lassen sich Sitzungen von Browsern übernehmen.

Webseite von Bundesbehörde erlaubte Cross-Site-Scripting

Inhalt

Cross-Site-Scripting (XXS) ist seit vielen Jahren eine der meistgenutzten Angriffsvektoren auf Webseiten. Von einer Sicherheitslücke betroffen, die XXS-Attacken ermöglicht, sind leider noch immer zu viele Webseiten. Bis vor Kurzem betroffen: die Webseite des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA). Wir erklären, was es damit auf sich hat und was sich daraus lernen lässt.

Was ist Cross-Site-Scripting?

Bei XXS-Attacken nutzen Hacker eine fehlerhafte Validierung von Daten aus, sodass sie in einem vertrauenswürdigen Kontext (in diesem Fall die Webseite der Bundesbehörde) eigenen Code platzieren können. So lassen sie beispielsweise Daten abfischen, die ein Benutzer auf der Webseite eingibt.

Persistente und nicht-persistente XXS-Attacken

Unterschieden wird bei Cross-Site-Scripting zwischen persistenten und nicht-persistenten Attacken. Bei persistenten Attacken wird der Schadcode auf dem Webserver gespeichert, sodass jeder Besucher die manipulierte Webseite ausgeliefert bekommt. Nicht persistentes Cross-Site-Scripting manipuliert lediglich die lokale Kopie, die der Besucher der Webseite in seinem Browser lädt. Es ist beispielsweise darauf angewiesen, dass der Besucher der Webseite einen manipulierten Link öffnet. Der Link leitet ihn zwar auf die echte, vertrauenswürdige Webseite, die jedoch manipuliert ist.

Wovon war das BAFA betroffen?

Die Sicherheitslücke des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA) ermöglichte „nur“ nicht-persistente Attacken. Angreifer hätten Nutzer beispielsweise via Phishing-Mail auf die manipulierte Webseite locken müssen. Da der Nutzer jedoch einen Link zur echten Webseite erhalten hätte, wäre diese auch für aufmerksame Nutzer relativ schwer zu erkennen gewesen.

Die IT-Security-Lehre

Auch wenn Cross-Site-Scripting ebenso wie effiziente Gegenmaßnahmen wohl bekannt sind, ist mit einer Bundesbehörde wieder eine sicherheitskritische Institution betroffen. Der IT-Abteilung einer Bundesbehörde sollte ein solcher Lapsus eigentlich nicht unterlaufen. Im alltäglichen Administrationsstress großer IT-Infrastrukturen durch kleine Teams bleibt eine solche Sicherheitslücke jedoch schnell unentdeckt.

Ein dauerhaftes Security-Monitoring sowie regelmäßig durchgeführte automatisierte Penetrationstest helfen, Sicherheitslücken wie XXS-Möglichkeiten unmittelbar zu entdecken, um sie zu schließen. Mit Enginsight erhalten Sie beides aus einer Hand: Eine Live-Überwachung Ihrer Webseiten und einen autonomen Pentester. Darüber hinaus bietet Enginsight als All-in-one-Tool alle weiteren wichtigen Features, um gesamte IT-Infrastrukturen auf sichere Beine zu stellen.

Für alle Internet-Nutzer gilt: Noch mehr Vorsicht bei Phishing-Mails! Auch wenn ein Link auf die offizielle, vertrauenswürdige Webseite leitet, kann ein Betrugsversuch vorliegen.

Wollen Sie mehr über Enginsight erfahren?

Vereinbaren Sie einen Demo-Termin oder testen Sie kostenlos 14 Tage den vollen Funktionsumfang von Enginsight!

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

IT-Security-Events 2020

Auch 2020 bleibt IT-Sicherheit ein Themenfeld von großer Relevanz. Entsprechend viele Messen, Kongresse und Konferenzen, die sich mit dem IT-Security auseinandersetzen, stehen in den Startlöchern.

Weiterlesen »

Produkt-demo

Vereinbaren Sie noch heute einen Demo-Termin und wir zeigen Ihnen, wie schnell Sie die IT-Sicherheit Ihres Unternehmens in den Griff bekommen.

Innerhalb von 30 Minuten erfahren Sie, wie Ihnen Enginsight dabei hilft, Ihre gesamte IT zu überwachen, Schwachstellen zu erkennen und Hackerangriffe zu simulieren. Dabei zeigen wir Ihnen wie auch Sie innerhalb kürzester Zeit den Sicherheitszustand Ihrer IT erhöhen können und was im Alltag wirklich wichtig ist, um Ihre IT-Mitarbeiter zu entlasten und dennoch Up-to-date zu sein.

Enginsight Logo

100% Eigenentwicklung, Made in Germany.