IT-Sicherheit: Nyan Cat erobert WDR.de, Bild.de, ARD.de und weitere Portale

**Ghandy** · 05. 08. 2011, 13:57

Nyan Cat, die süße Katzenanimation mit Endlosschleife und höchst nerviger aber kultiger Musik erobert aufgrund der Sicherheitslücken auf diversen Webseiten jetzt auch die Portale von Foodwatch, dem WDR, ARD und viele mehr. Statt dem Super Mario Flash Game benutzen wir das knuddelige Tier jetzt dafür, die Betreiber auf neue Bugs hinzuweisen. Wir wünschen allen einen angenehmen Flug mit Nyan Cat!

zur News

**FraGDeNShizOo** · 05. 08. 2011, 14:21

hm hat was

**bigtuerke1** · 05. 08. 2011, 14:21

http://www.wdr.de/tv/home/sendemitsc...E%3C/iframe%3E
LOL.. Rick Astley

**IIWhiteHatII** · 05. 08. 2011, 14:26

Nyan @ Saturn.at http://tinyurl.com/SOnyanSaturn
Blub Blub @ SWR http://tinyurl.com/SOswrblubblub <-x fixed

**ArieD** · 05. 08. 2011, 15:37

Zitat von IIWhiteHatII

Blub Blub @ SWR http://tinyurl.com/SOswrblubblub

Ahhhh wie geil die haben Charlie das Einhorn verlinkt xDDD

**Gacksi** · 05. 08. 2011, 16:27

Ich versteh immer noch nicht, was das für ne "Sicherheits"-Lücke sein soll?!
Ja sicher, es gehört besser gemacht, aber wo ist die Sicherheit gefährdet? Code einschleußen, den nur ich selber seh... woho.. ><

**Lugyacci** · 05. 08. 2011, 16:34

Zitat von Gacksi

Ich versteh immer noch nicht, was das für ne "Sicherheits"-Lücke sein soll?!
Ja sicher, es gehört besser gemacht, aber wo ist die Sicherheit gefährdet? Code einschleußen, den nur ich selber seh... woho.. ><

Wikipedia: XSS
Es geht in erster Linie um Phishing. Da man ein Javascript so schreiben kann, dass es sich selbst versteckt (auch in der URL!!) kann man auf diese Weise Daten des Users abfangen oder fälschen. Besonders gefährlich ist dies auch im Zusammenhang mit aktuellen Browserfeatures wie etwa Passwortmanagern. Und es verhällt sich wie ein Rootkit, d.h. es ist annähernd unbemerkbar (nur mithilfe von Web-Entwicklungs-Werkzeugen).

**Gacksi** · 05. 08. 2011, 16:44

Danke für deine Antwort.
Das Grundproblem beim Phishing ist dann aber immer noch der User und nicht die Homepage.
Aber gut, gefixt gehört es so und so .. ^^

**aNtiCHrist** · 05. 08. 2011, 18:00

Zitat von Gacksi

Das Grundproblem beim Phishing ist dann aber immer noch der User und nicht die Homepage.

Nein, eben nicht. Der Nutzer befindet sich schließlich auf der korrekten Website. Gut, man könnte bei dem langen URI, der auch noch einen weiteren (allerdings kodierten) URI oder JS-Code enthält, misstrauisch werden. Aber da oft genug auch ganz ohne Manipulation solche unübersichtlichen URIs verwendet werden, kann man dem Nutzer da kaum eine eingehende Prüfung zumuten. Weil die Domain stimmt, lassen sich so auch einem Passwortmanager die Daten entlocken, der füllt die Formulare ja auch nur auf der korrekten Domain aus. Auch SSL schützt da nicht. Das Problem liegt hier im wesentlichen auf der technischen Seite, Social Engineering kann hier zwar tatsächlich ergänzend eine Rolle spielen, es ist aber eben nicht zwingend notwendig.

Spätestens, wenn auf der Site Authentifizierungsdaten verwendet werden, ist XSS ein schwerwiegendes Sicherheitsproblem, selbst wenn es nicht persistent möglich ist. In Kombination mit den beliebten, allgemein aber höchst fragwürdigen Kurz-URI-Diensten ist es schließlich relativ einfach, die meisten Nutzer auf einen URI zu locken, den sie bei dem Aufruf nicht kennen. Persistentes XSS ist natürlich noch mal deutlich schlimmer, wenn es an einer attraktiven Stelle möglich ist. Etwa in einem Forum in einem gut besuchten Thread.

**Lugyacci** · 05. 08. 2011, 18:29

Zitat von aNtiCHrist

In Kombination mit den beliebten, allgemein aber höchst fragwürdigen Kurz-URI-Diensten ist es schließlich relativ einfach, die meisten Nutzer auf einen URI zu locken, den sie bei dem Aufruf nicht kennen.

Kurz-URIs sind zwar ganz nett, aber mit Domains kommt man oft auch schon ziemlich weit, ohne dass es der User merkt.
www.faecbook.com
www.fa.cebook.com
www.fasebook.com
www.facebock.com
...
der User wird beim Klick einfach auf die Seite mit XSS weitergeleitet und niemand merkt mehr was

(Schwachstelle ist natürlich, dass Domain-Namen relativ einfach gelöscht/gesperrt werden können)
Falls man jedoch vorher auf einer anderen Webseite bereits (serverseitig) HTML einbauen konnte, könnte man natürlich auch einfach einen Link einbauen, der die falsche Adresse beim Überfahren mit der Maus anzeigt (Stichwort: OnClick)

**aNtiCHrist** · 05. 08. 2011, 19:27

Ich meinte die Kurz-URI-Dienste nicht mal in Bezug auf eine Täuschungsbsicht, sondern allgemein, dass man meist nicht ohne weiteres vor dem Aufruf des Ziels erkennen kann, wo sie hinführen. In der Adresszeile des Browsers kann man die verdächtigen URI-Teile ja recht einfach so weit am Ende anordnen, dass sie nicht angezeigt werden. Wird ein URI aber per z. B. per (Plaintext-)Mail verbreitet, ist er in seiner vollen länge sichtbar, was zu einer potenziell leichteren Erkennung der Manipulation führt. Aber du hast natürlich mit der Irreführung recht, bereits in einer HTML-Mail könnte man den Link-Text entsprechend gestalten, sodass eine Vielzahl darauf hereinfällt.

Den Bezug von der von dir erwähnten Irreführung zur XSS-Problematik hier kann ich aber nur am Rand sehen. Bei einer XSS-anfälligen Site muss der Angreifer doch überhaupt keinen Aufwand betreiben, den Nutzer bei der Domain zu täuschen. Sie ist ja korrekt. Das Problem ist der Pfad/Query-String.

**Korinthenkacker** · 06. 08. 2011, 07:48

XSS ist eine altbekannte Lücke (Microsoft: Gefahr für alle Surfer (pcwelt.de) vom 04.02.2000) welche nun von den Mainstream-Medien entdeckt wurde. Vor Jahren war XSS etwas wo man (angeblich) nur bunte Bildchen einfügen konnte und nun wird es als die hohe Kunst des Hackens gepriesen, das eine ist so falsch wie das andere.

Nimmt man sich etwas Zeit, so finden sich in geschätzten 80% aller Websites XSS-Lücken, ob diese dann am Ende wirklich gefährlich werden, hängt von der Website, deren angebotenen Dienste und Techniken ab.

"Nur" weil ich irgendwo eine Session-ID per XSS auslesen kann, bedeutet dies noch nicht, dass ich in einen fremden Account einbrechen kann. Ein durchdachtes Session-Handling, Verhinderung von Session-Hijaking und Session-Fixation, macht die Accountübernahme unmöglich. I.d.R. kommen immer weitere Sicherheitslücken hinzu, weshalb man eben doch einen Account übernehmen kann

Und noch was für das Sommerloch bei gulli:
Datt SPIEGELt sich aber nicht!

http://bit.ly/pazoof