Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

 <<   zurück
JavaScript und AJAX von Christian Wenz
Das umfassende Handbuch
Buch: JavaScript und AJAX

JavaScript und AJAX
839 S., mit DVD, 39,90 Euro
Galileo Computing
ISBN 3-89842-859-1
gp Kapitel 30 JavaScript und Sicherheit
  gp 30.1 XSS
  gp 30.2 XSS und AJAX


Galileo Computing

30.2 XSS und AJAX  toptop

Doch auch für reine JavaScript-Programmierer ist XSS eine ernst zu nehmende Gefahr. Erinnern Sie sich an Kapitel 18 und die dort vorgestellte AJAX-Problematik, dass Bookmarks nicht so ohne Weiteres möglich sind? Nun, ein möglicher Umweg besteht ja darin, spezielle URLs anzubieten, die als Textmarke oder Query-String Informationen erhalten, die den Seiteninhalt eindeutig beschrieben.

Leider müssen Sie dabei höllisch aufpassen, um nicht in das XSS-Loch zu fallen. Kehren wir zum Beispiel mit der Suche zurück. Stellen Sie sich vor, Sie haben eine AJAX-Suche geschrieben: Ohne dass Seiten neu geladen werden müssen, erscheinen die Suchergebnisse wie von Zauberhand. Allerdings bieten Sie auch noch Permalinks (permanente Links) an, damit für die Ergebnisseite ein Bookmark abgelegt werden kann:

<a href="http://site.xy/suche.php?begriff=XXX">Permalink</a>

Auf der Seite selbst befindet sich dann folgender JavaScript-Code:

<html>
<head>
<title>XSS</title>
<script type="text/javascript">
window.onload = function() {
   if (location.search.length > 1) {
      var p = document.getElementById("ausgabe");
      p.innerHTML = "Sie suchten nach " +
                    unescape(location.search.substring(1));
   }
};
</script>
</head>
<body>
<h1>XSS</h1>
<p id="ausgabe"></p>
</body>
</html>

Sie ahnen mittlerweile, woran dieser Code-Ansatz scheitert: Die URL http://site.xy/suche.html?<Markup...> führt JavaScript-Code aus, wie Abbildung 30.3 noch einmal verdeutlicht.

Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 30.3     Beachten Sie URL und Wirkung!

Besonders gefährlich ist die JavaScript-Funktion eval(), die bekanntlich einen String mit JavaScript-Code ausführt. Wenn dieser String von außen kommt, also beispielsweise aus der URL, haben Sie mit hoher Wahrscheinlichkeit eine schwere Sicherheitslücke im System. Seien Sie also bei externen Daten äußerst vorsichtig. Und versuchen Sie erst gar nicht, die zuvor gezeigten Angriffe herauszufiltern, also etwa nach <script zu suchen. Ein Angreifer könnte ja beispielsweise <style>body {back-ground: url(javascript:boeserCode();) }</style> eingeben oder <img src="" onerror="boeserCode();" /> oder ...

PHP-spezifische Hinweise zum Thema Web-Security erhalten Sie unter anderem beim PHP Security Consortium unter http://www.phpsec.org. Allgemeine, sprachunabhängige Informationen gibt es beim Open Web Application Security Project unter http://www.owasp.org/.




1  Aus der Debatte, ob man nicht doch lieber Cracker sagen sollte und ob jemand, der eine Sicherheitslücke findet, automatisch ein Cracker oder eben doch ein Hacker oder einfach nur jemand mit zu viel Zeit ist, möchte ich mich an dieser Stelle heraushalten. ... was mittlerweile immerhin schon von einigen Browsern nicht mehr interpretiert wird.

 <<   zurück
  
  Zum Katalog
Zum Katalog: JavaScript und AJAX
JavaScript und AJAX
bestellen
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps
Zum Katalog: JavaScript und AJAX - Das Video-Training






 JavaScript und AJAX -
 Das Video-Training


Zum Katalog: Webseiten programmieren und gestalten






 Webseiten
 programmieren
 und gestalten


Zum Katalog: XHTML, HTML und CSS






 XHTML, HTML und CSS


Zum Katalog: CSS-Praxis






 CSS-Praxis


Zum Katalog: AJAX






 AJAX


Zum Katalog: PHP 5 und MySQL 5






 PHP 5 und MySQL 5


Zum Katalog: TYPO3 4.0






 TYPO3 4.0


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2007
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de