© saicle/Shutterstock.com
HTML5 bringt neue Möglichkeiten - für Webentwickler und für Angreifer

Die dunkle Seite des neuen Webstandards


Woran denken Sie, wenn von HTML5 die Rede ist? Sicher an die vielen schönen Funktionen und Fähigkeiten, die neue Webanwendungen ermöglichen. Aber wissen Sie auch, woran Hacker dabei denken? An neue und verfeinerte Angriffe! Dieser Artikel wirft einen Blick auf Sicherheitslücken in HTML5 und zeigt, wie Hacker diese für sich ausnutzen können.

HTML5 gibt es als Standard noch gar nicht und wird es als Standard zumindest vorerst auch nicht geben. Stattdessen wird es als „Work in Progress“ ständig Änderungen darin geben. Trotzdem enthalten die Browser schon mehr oder weniger viele Features davon. Neue Tags und APIs, lokale Datenspeicher und Cross-Origin Requests erlauben die Entwicklung interessanter Webanwendungen, lassen sich aber auch für bösartige Zwecke nutzen. Folgen Sie mir auf eine Reise zur „dunklen Seite“ von HTML5 und erfahren Sie, wie Cyberkriminelle HTML5 missbrauchen können. In der nächsten Folge erfahren Sie dann, wie Sie zumindest einen Teil dieser Angriffe verhindern können.

Artikelserie

Teil 1: Die dunkle Seite des neuen Webstandards

Teil 2: HTML5-Angriffe verhindern

HTML5 und Cross-Site Scripting (XSS)

Auf der Heft-CD finden Sie den Artikel „Cross-Site Scripting – Angreifers Leatherman“ aus dem PHP User Magazin 1.2010. Die darin beschriebenen Angriffe basieren alle auf HTML vor HTML5. Die neuen Tags und geänderten Attribute etc. für altbekannte Tags führen zu neuen Einfallstoren. Dazu kommen die neuen Funktionen, die natürlich auch für bösartige Zwecke missbraucht werden können. Aber konzentrieren wir uns erst einmal auf die neuen Möglichkeiten zum Einschleusen von XSS-Code ([1], Verweise auf der Heft-CD). Fangen wir mit den schließenden Tags an, die bisher immer harmlos waren. Im Grunde konnte eine Funktion zum Erkennen oder Ausfiltern von XSS-Angriffen beim Erkennen von </ alle folgenden Zeichen bis zum nächsten > überspringen, da an dieser Stelle kein JavaScript eingeschleust werden konnte. Das ist nun anders: Ein entsprechend implementierter Filter würde ein Tag wie </a onmousemove="alert(1)"> akzeptieren und dadurch einem XSS-Angriff Tür und Tor öffnen.

XSS für Augen und Ohren

Finden Sie die neuen audio- und video-Tags auch extrem nützlich? Dann passen Sie auf, dass Ihnen niemand darüber XSS-Code einschleust! Wenn Sie das Tag z. B. durch den Code echo "<video src=\"".$url."\">"; erzeugen, müssen Sie darauf achten, dass $url wirklich ein URL ist bzw. keinen XSS-Code enthält. Denn eine Eingabe wie

http://website.example/link/zu/keinem/vi...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang