[Erledigt] XSS Sicherheit bei dynamischem einbinden von Scripts

kn0wledge · 18.02.2010, 17:38

Hallo,

Ich binde per Ajax über jQuery mit getScript() eine Javascript Datei ein, jetzt kann ja theoretisch von einem User der Request so manipuliert werden, dass eine andere Javascript Datei von einer fremden Domain eingebunden wird, ist dies ein großes Sicherheitsrisiko? weil bei anderen Usern würde der manipulierte Request ja keine Rolle spielen sondern nur bei dem User der es selbst in seinem Account manipuliert hat oder?

nikosch · 18.02.2010, 17:43

Das kommt drauf an. „Cross site scripting“ und „cross site request forgery“ sind, je nachdem, was Deine Applikation tut, Deine Stichwörter.

mepeisen · 18.02.2010, 17:44

Grundsätzlich muss für ein wirksamen XSS-Angriff folgendes erfüllt werden: Es muss die URL umgebogen werden. Wie du bereits erkannt hast. Das geht auf zwei Arten:
1) Ändern der HTML-Seite und Ausführen einer veränderten Version
2) Einbrechen über manipulierte Links u.ä.

Die erste Variante ist normalerweise im ersten Moment harmlos. Was jedoch passieren kann: Leute können über einen gefakten Link auf eine exakte Kopie deiner Webseite gelockt werden, um dort beispielsweise das Kennwort u.ä. arneut angeben zu müssen. Umgehen kannst du sowas kaum.
Die zweite Variante ist ein Problem. Sie ist immer dann möglich, wenn du Eingaben deiner User ungefiltert ausgibst, also zusammen mit potentiell schädlichem Javascript.

Flor1an · 18.02.2010, 17:45

Also wenn ich selbst eine fremde Datei einbinde dann bin ich doch selbst Schuld wenn dadurch was passiert oder? Solang er diese Änderung nicht "fest" in deinem Code einbringen kann (seis jetzt durch die Datenbank, Textdatei, Link/URL Parameter) stört es doch keinen anderen Benutzer. Was genau möchtest du?

kn0wledge · 18.02.2010, 17:56

Zitat:

Zitat von Flor1an

Also wenn ich selbst eine fremde Datei einbinde dann bin ich doch selbst Schuld wenn dadurch was passiert oder? Solang er diese Änderung nicht "fest" in deinem Code einbringen kann (seis jetzt durch die Datenbank, Textdatei, Link/URL Parameter) stört es doch keinen anderen Benutzer. Was genau möchtest du?

Das wollte ich hören danke

eigentlich wars mir schon klar, aber ich wollte lieber auf Nummer sicher gehen und nochmal nachfragen.

nikosch · 18.02.2010, 17:58

Tja, das ist aber nur die halbe Wahrheit, wie Du an den Antworten darüber lesen kannst. Ist ja schön, dass Du das hören wolltest. Ich höre auch gerne „Alles ist gut“.

Flor1an · 18.02.2010, 18:07

Naja solang er diese Datei nur einbinden kann indem er "per Hand" oder z.B. per Greasemonkey die Javascript Datei nachlädt dann sollte da eigentlich nichts passieren. Das Problem besteht ja nur wenn der User es schafft die Datei auch bei anderen User einzubinden. Wie eben gesagt durch ungefilterte Eingaben/Ausgaben oder eben über ungefilterte URL Parameter.

kn0wledge · 18.02.2010, 18:08

Zitat:

Zitat von nikosch

Tja, das ist aber nur die halbe Wahrheit, wie Du an den Antworten darüber lesen kannst. Ist ja schön, dass Du das hören wolltest. Ich höre auch gerne „Alles ist gut“.

Was willst du damit sagen ?

Auf meiner Seite werden sicherlich keine Usereingaben ungefiltert irgendwo eingetragen oder ausgegeben.

und was da noch steht

Zitat:

Leute können über einen gefakten Link auf eine exakte Kopie deiner Webseite gelockt werden, um dort beispielsweise das Kennwort u.ä. arneut angeben zu müssen. Umgehen kannst du sowas kaum.

Ich nenn das mal Phishing und wie schon gesagt kann man sowas nicht umgehen, außer man hat vllt. so ein schönes Zertifikat wie Paypal oder was weiß ich dass fett neben der AdressLeiste hervorsticht und selbst dann gibt es Leute die noch zu dumm sind und fröhlich ihre Daten eingeben.

nikosch · 18.02.2010, 18:15

Zitat:

Auf meiner Seite werden sicherlich keine Usereingaben ungefiltert irgendwo eingetragen oder ausgegeben.

Sicherlich. Du wirst es wissen. Wir nicht auf Grundlage Deines ursprünglichen Postings.

kn0wledge · 18.02.2010, 18:18

Zitat:

Zitat von nikosch

Sicherlich. Du wirst es wissen. Wir nicht auf Grundlage Deines ursprünglichen Postings.

ok stimmt da steht wirklich nichts

, aber es ist so wie Florian gesagt hat, dass Script ist völlig unabhänig von einer Eingabe und könnte nur per FireBug oder ähnlichem geändert werden.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Email Script(s) funktionieren nicht	SteSte	PHP Tipps 2009	7	18.02.2009 13:56
Farbcode per Include einbinden	haufe	PHP Tipps 2009	2	12.01.2009 15:48
Sessions und die Sicherheit. Verständnisfrage.	litterauspirna	PHP Tipps 2008	7	30.10.2008 09:39
sicherheit	SteiniKeule	PHP Tipps 2008	9	20.10.2008 06:48
Polnischen Font in PDFLib einbinden	nopileos	PHP Tipps 2008	3	11.08.2008 12:21
[Erledigt] Sessions und Sicherheit	Wolla	PHP Tipps 2008	16	01.08.2008 19:33
Einbauen Externer Scripts (UMFRAGE)	Adminator	PHP Tipps 2007	10	05.03.2007 10:32
Erfahrung mit Sessions ( Sicherheit )	GELight	PHP Tipps 2006	6	11.08.2006 17:55
Highlight im BBCodefunktion einbinden		PHP Tipps 2007	15	09.12.2005 11:15
Metatags per php einbinden?	imported_FlasH	PHP Tipps 2005-2	3	30.10.2005 15:33
rss/xml Feeds auf Webseite einbinden		PHP Tipps 2005-2	2	29.10.2005 13:44
Gästebuch einbinden ohne Frames		PHP Tipps 2005-2	6	16.07.2005 19:22
?!? Einbinden von Schrift: Pump.vef		HTML, Usability und Barrierefreiheit	6	10.02.2005 13:45
Richtiges Einbinden	Mano	PHP Tipps 2005	1	04.01.2005 19:40
[Erledigt] PHP via JavaScript einbinden		PHP Tipps 2004-2	3	22.12.2004 13:00

18.02.2010, 17:38
kn0wledge Erfahrener Benutzer Registriert seit: 03.09.2009 Beiträge: 158 PHP-Kenntnisse: Anfänger	[Erledigt] XSS Sicherheit bei dynamischem einbinden von Scripts Hallo, Ich binde per Ajax über jQuery mit getScript() eine Javascript Datei ein, jetzt kann ja theoretisch von einem User der Request so manipuliert werden, dass eine andere Javascript Datei von einer fremden Domain eingebunden wird, ist dies ein großes Sicherheitsrisiko? weil bei anderen Usern würde der manipulierte Request ja keine Rolle spielen sondern nur bei dem User der es selbst in seinem Account manipuliert hat oder?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

18.02.2010, 17:43
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.256 PHP-Kenntnisse: Fortgeschritten	Das kommt drauf an. „Cross site scripting“ und „cross site request forgery“ sind, je nachdem, was Deine Applikation tut, Deine Stichwörter. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

18.02.2010, 17:44
mepeisen Erfahrener Benutzer Registriert seit: 21.12.2004 Beiträge: 4.651 PHP-Kenntnisse: Fortgeschritten	Grundsätzlich muss für ein wirksamen XSS-Angriff folgendes erfüllt werden: Es muss die URL umgebogen werden. Wie du bereits erkannt hast. Das geht auf zwei Arten: 1) Ändern der HTML-Seite und Ausführen einer veränderten Version 2) Einbrechen über manipulierte Links u.ä. Die erste Variante ist normalerweise im ersten Moment harmlos. Was jedoch passieren kann: Leute können über einen gefakten Link auf eine exakte Kopie deiner Webseite gelockt werden, um dort beispielsweise das Kennwort u.ä. arneut angeben zu müssen. Umgehen kannst du sowas kaum. Die zweite Variante ist ein Problem. Sie ist immer dann möglich, wenn du Eingaben deiner User ungefiltert ausgibst, also zusammen mit potentiell schädlichem Javascript. __________________ Entwickler aus Leidenschaft und ein Zahnrad in einem der größten Java-Projekte der Welt.

18.02.2010, 17:45
Flor1an ¯\_(ツ)_/¯ Registriert seit: 18.06.2008 Beiträge: 8.814 PHP-Kenntnisse: Fortgeschritten	Also wenn ich selbst eine fremde Datei einbinde dann bin ich doch selbst Schuld wenn dadurch was passiert oder? Solang er diese Änderung nicht "fest" in deinem Code einbringen kann (seis jetzt durch die Datenbank, Textdatei, Link/URL Parameter) stört es doch keinen anderen Benutzer. Was genau möchtest du?

18.02.2010, 17:58
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.256 PHP-Kenntnisse: Fortgeschritten	Tja, das ist aber nur die halbe Wahrheit, wie Du an den Antworten darüber lesen kannst. Ist ja schön, dass Du das hören wolltest. Ich höre auch gerne „Alles ist gut“. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

18.02.2010, 18:07
Flor1an ¯\_(ツ)_/¯ Registriert seit: 18.06.2008 Beiträge: 8.814 PHP-Kenntnisse: Fortgeschritten	Naja solang er diese Datei nur einbinden kann indem er "per Hand" oder z.B. per Greasemonkey die Javascript Datei nachlädt dann sollte da eigentlich nichts passieren. Das Problem besteht ja nur wenn der User es schafft die Datei auch bei anderen User einzubinden. Wie eben gesagt durch ungefilterte Eingaben/Ausgaben oder eben über ungefilterte URL Parameter.