Zwei amerikanische IT-Fachleute haben stichprobenartig Web-Sites daraufhin überprüft, ob sie durch Cross-Site-Scripting-Angriffe verwundbar sind. Ihr Resultat: Ja, und zwar auch Sites, die eine renommierte IT-Security-Firma als sicher eingestuft hat.

Den Test führten Kevin Fernandez und Dimitris Pagkalos durch. Beide informieren auf ihrer Web-Seite www.xssed.com über Sicherheitsrisiken durch Cross-Site-Scripting-Angriffe (XSS).

Unserer Schwesterpublikation Informationweek.com übermittelten die Fachleute eine Liste mit 62 Web-Sites, die von der IT-Sicherheitsfirma McAfee als »Hacker Safe« eingestuft wurden. Dieses Prädikat erhalten Sites, die McAfees »Scan-Alert«-Service überprüft hat.

Die in der Liste aufgeführten Web-Sites sind nach Angaben von Fernandez und Pagkalos allerdings für XSS-Attacken anfällig. Bei den Web-Seiten handelt es sich unter anderem um die der Online-Händler www.brookstone.com und www.sportsauthority.com sowie der Finanzfirma www.mysecurewallet.nl.

Nach Angaben der zwei Experten weist auch die Web-Seite von Scan Alert selbst XSS-Schwachstellen auf.

McAfee: Kein Hacking von Servern möglich

McAfee hat mittlerweile in einer Stellungnahme mitgeteilt, dass es nicht möglich sein, XSS-Schwachstellen dazu zu nutzen, um Server zu hacken. Zwar könne ein Client-System tangiert sein. User-Daten, die auf Servern lagern, seien jedoch nicht betroffen.

Mithilfe von Cross-Site-Scripting können Angreifer HTML-Code oder eigene Scripts auf Web-Seiten platzieren.

Allerdings, so Oliver Friedrichs, Direktor von Symantecs Security-Response-Team, sei die Wirkung von XSS-Angriffen begrenzt. Entsprechende Schwachstellen seien für jede einzelne Web-Seite spezifisch. Sobald sie entdeckt würden, könne ein Web-Master sie schnell beseitigen.

In den USA ist nun eine Diskussion über McAfees Scan-Alert-Dienst ausgebrochen. Die Fachleute von McAfee wiesen mehrfach darauf hin, dass der Service nur Schwachstellen aufdeckt. Sie zu beseitigen, sie jedoch Aufgabe des Betreibers einer Web-Seite.