Sicherheitslücke Web-Formulare
Laut Sandro Gauci von EnableSecurity habe sich in den letzten sechs Jahren kaum etwas an der Tatsache geändert, dass HTML-Formulare ein schwaches Glied in der Abwehrkette unserer Onlinerechner seien. Viele der Schwachpunkte, die er schon 2002 ausgemacht habe, können noch heute für Manipulationen genutzt werden, behauptet Gauci. “Was hindert den Angreifer, einfach einen Port zu nutzen, der nicht auf der Schwarzen Liste steht”, lautet eine seiner spitzen Fragen an die Browser-Industrie. Gerade Internet Explorer und Opera hinken in Sachen Port-Sicherheit noch hinterher, meint Gauci.
Einen weiteren Schwachpunkt macht der Experte nach wie vor aus, sobald ein HTML-Formular die Daten an einen FTP- oder SMTP-Server übergeben wolle. Hier unterscheide der Browser nicht, was den Nicht-HTTP-Server in der Regel zur Absonderung einer Fehlermeldung veranlasse. Diese könne ein halbtalentierter Hacker mit Schadcode anreichern. Eine XSS-Attacke (Cross Site Scripting) wäre denkbar. Oder schlicht nur der Diebstahl der ins Formular eingegebenen Daten, die ja durchaus sehr aufschlussreich und nützlich sein können.
“Die Lösung? Browser derart ergänzen, dass sie den Antwort-Header checken. Dabei würden IMAP- oder FTP-Server mit fragwürdigem HMTL-Code herausgefiltert”, glaubt Gauci. Mal sehen, ob ihm diesmal jemand zuhört. (rm)