Risiko Javascript-Hijacking
Schwächen von Ajax machen Web 2.0 unsicher
Sicherheitsforscher haben eine neue Art möglicher Webattacken entdeckt: Angriffe auf eine besondere Schwachstelle in Ajax (Asynchronous Javascript and XML), das ein Antriebsmotor für das Web 2.0 werden soll.
Die neue Verwundbarkeit wurde von Fortify Software entdeckt und soll in nahezu allen Ajax-Toolkits vorhanden sein. Die Wissenschaftler beschreiben das neue Sicherheitsloch mit Javascript-Hijacking (JSH): Es erlaubt einem Angreifer, sensible Daten aus einer angreifbaren Applikation zu lesen, wobei eine ähnliche Technik zum Einsatz kommt, wie sie auch zur Erzeugung von Mashups genutzt wird.
"Alle haben gehofft, dass mit dem Aufkommen von Ajax als neuem Webanwendungsmodell die herkömmlichen Angriffe keine Chance mehr haben, aber genau das Gegenteil scheint jetzt der Fall zu sein", sagt Brian Chess, Autor des Berichts und Chef des Softwareanalysebereichs bei Fortify.
Ajax ist eine noch recht neue Technik, bei der Webanwendungen im Hintergrund Daten austauschen, ohne dass dafür die ganze Seite neu aufgebaut werden muss. Das verstärkt beim Anwender den Eindruck, dass es sich um eine Desktop-Anwendung handle. Googles Gmail ist beispielsweise eine der bekanntesten Ajax-Applikationen. Laut Chess könnte ein JSH-Angriff dazu führen, dass im Hintergrund die E-Mails gelesen oder andere Account-Daten abgerufen werden.
Ursache für die Ajax-Sicherheitsprobleme ist laut Chess, dass Ajax zwar für Javascript und XML gedacht, aber auch für alle anderen Formate wie HTML oder reinen Text nutzbar ist. Wird beispielsweise das Datenformat JSON genutzt, so werden die Informationen vom Browser anders abgehandelt als bei XML. Eine weitere Schwäche besteht darin, dass bei HTML alle Browser eine Sicherheitseinrichtung haben, das nur der Code vom gleichen Server abgearbeitet wird. Doch bei Javascript gilt diese Regel nicht, sodass auch Javascript von einem anderen als dem Domain-Server ausgeführt werden kann. Google-Adsense und Google-Maps arbeiten beispielsweise so.
Laut Fortify können nun Hacker diese beiden Schwächen nutzen, in dem sie sich in eine Ajax-Anwendung einbuchen und dann mit dem JSON-Format alles an Daten ausplündern, was verfügbar ist. In einem Test hat sich herausgestellt, dass elf von zwölf Ajax-Frameworks über keine Schutzmaßnahmen gegen dieses Hijacking verfügen. Hierzu zählen unter anderen: Microsoft ASP Dotnet Ajax (auch Atlas genannt), Xajax und Google Web Toolkit, Prototype, Dojo, Moo.fx, Jquery, Yahoo UI, Rico und Mochikit.
Insgesamt halten die Sicherheitsexperten bei Fortify die gegenwärtige Bedrohung jedoch für gering. "Ajax ist immer noch in den Kinderschuhen und im Verhältnis zu Buffer-Overflow und anderen Browser-Fehlern ein verschwindend kleines Problem, doch je eher man daran arbeitet, desto schneller kann eine ausreichende Sicherheit geschaffen werden", so Chess‘ Fazit.
Harald Weiss/wg
Lesen Sie mehr zum Thema
