© best_vector/Shutterstock.com
Windows Developer
JavaScript-Code: praktische Angriffsbeispiele

Achtung, AngularJS

AngularJS - völlig harmlos! Was kann da schon groß passieren? Viel, wenn man nicht aufpasst. Und Cyberkriminelle verzeihen keine Fehler, sondern nutzen sie aus. Im Fall von JavaScript fällt ihnen das im Zweifel besonders leicht, da sie dabei Zugriff auf Sourcecode und Business Logic haben - alles vom Webserver frei Haus geliefert.

Carsten Eilers


Angriffe auf und über den Webclient waren ja schon des Öfteren Thema im Windows Developer. Unabhängig davon, ob es dabei um mögliche Angriffe [1] oder Schwachstellen [2] ging oder wie im aktuellsten Artikel um praktische Beispiele für Angriffe [3] – immer wurden JavaScript-Funktionen missbraucht und/oder Schwachstellen in den Clientimplementierungen ausgenutzt. AngularJS ist ebenfalls einfach „nur“ JavaScript-Code, kann also missbraucht werden bzw. mögliche Schwachstellen enthalten, alles bereits Geschriebene gilt also auch dafür.

Und damit kann dieser Artikel enden. Es gibt nichts mehr zu sehen, bitte blättern Sie weiter. Nein, tut mir leid, so einfach ist es leider nicht. Denn natürlich enthält AngularJS seine eigenen Fallstricke, ganz unabhängig von allen sonstigen Möglichkeiten, die JavaScript einem Angreifer bietet. Und so wie jede andere Software, ist natürlich auch AngularJS nicht frei von Fehlern, und wie immer und überall sind darunter eben auch ausnutzbare Schwachstellen. Aber es gibt nicht nur Fallstricke und Schwachstellen, auch Positives in Sachen Sicherheit ist zu vermelden. Aber fangen wir mit den Schwachstellen an.

Schwachstellen in AngularJS

Wenn man im Internet nach bekannten Schwachstellen in AngularJS sucht, stößt man schnell auf eine von Mathias Karlsson entdeckte Möglichkeit zum Ausbruch aus der AngularJS-Sandbox [4]. Die wiederum führte zur Entdeckung einer weiteren Ausbruchsmöglichkeit durch Gábor Molnár [5].

Die an die AngularJS-Entwickler gemeldeten Schwachstellen wurden recht zügig behoben. Da die Schwachstellen erst nach der Korrektur veröffentlicht wurden, sind Anwendungen, die die jeweils aktuellste Version von AngularJS verwenden, im Allgemeinen keiner Gefahr ausgesetzt. Zumindest, sofern nicht Cyberkriminelle die Schwachstellen ebenfalls entdecken und vor ihrer Korrektur ausnutzen. Aber diese Gefahr besteht immer und überall und hat nichts mit AngularJS oder auch nur JavaScript zu tun. Microsoft musste schon öfter die Erfahrung machen, dass eine vertraulich gemeldete Schwachstelle von Angreifern ausgenutzt wurde, bevor der Patch fertig war und veröffentlicht werden konnte.

Anders sieht es bei Angriffen auf veraltete Versionen mit bekannten Schwachstellen aus. Im Fall von AngularJS gibt es ein sehr schönes Beispiel für einen Angriff über eine veraltete Version: Die Infrastructure-as-a-Service-Plattform Eucalyptus nutzt AngularJS für die Managementkonsole, und über die von Mathias Karlsson entdeckte Möglichkeit zum Ausbruch a...

Windows Developer
JavaScript-Code: praktische Angriffsbeispiele

Achtung, AngularJS

AngularJS - völlig harmlos! Was kann da schon groß passieren? Viel, wenn man nicht aufpasst. Und Cyberkriminelle verzeihen keine Fehler, sondern nutzen sie aus. Im Fall von JavaScript fällt ihnen das im Zweifel besonders leicht, da sie dabei Zugriff auf Sourcecode und Business Logic haben - alles vom Webserver frei Haus geliefert.

Carsten Eilers


Angriffe auf und über den Webclient waren ja schon des Öfteren Thema im Windows Developer. Unabhängig davon, ob es dabei um mögliche Angriffe [1] oder Schwachstellen [2] ging oder wie im aktuellsten Artikel um praktische Beispiele für Angriffe [3] – immer wurden JavaScript-Funktionen missbraucht und/oder Schwachstellen in den Clientimplementierungen ausgenutzt. AngularJS ist ebenfalls einfach „nur“ JavaScript-Code, kann also missbraucht werden bzw. mögliche Schwachstellen enthalten, alles bereits Geschriebene gilt also auch dafür.

Und damit kann dieser Artikel enden. Es gibt nichts mehr zu sehen, bitte blättern Sie weiter. Nein, tut mir leid, so einfach ist es leider nicht. Denn natürlich enthält AngularJS seine eigenen Fallstricke, ganz unabhängig von allen sonstigen Möglichkeiten, die JavaScript einem Angreifer bietet. Und so wie jede andere Software, ist natürlich auch AngularJS nicht frei von Fehlern, und wie immer und überall sind darunter eben auch ausnutzbare Schwachstellen. Aber es gibt nicht nur Fallstricke und Schwachstellen, auch Positives in Sachen Sicherheit ist zu vermelden. Aber fangen wir mit den Schwachstellen an.

Schwachstellen in AngularJS

Wenn man im Internet nach bekannten Schwachstellen in AngularJS sucht, stößt man schnell auf eine von Mathias Karlsson entdeckte Möglichkeit zum Ausbruch aus der AngularJS-Sandbox [4]. Die wiederum führte zur Entdeckung einer weiteren Ausbruchsmöglichkeit durch Gábor Molnár [5].

Die an die AngularJS-Entwickler gemeldeten Schwachstellen wurden recht zügig behoben. Da die Schwachstellen erst nach der Korrektur veröffentlicht wurden, sind Anwendungen, die die jeweils aktuellste Version von AngularJS verwenden, im Allgemeinen keiner Gefahr ausgesetzt. Zumindest, sofern nicht Cyberkriminelle die Schwachstellen ebenfalls entdecken und vor ihrer Korrektur ausnutzen. Aber diese Gefahr besteht immer und überall und hat nichts mit AngularJS oder auch nur JavaScript zu tun. Microsoft musste schon öfter die Erfahrung machen, dass eine vertraulich gemeldete Schwachstelle von Angreifern ausgenutzt wurde, bevor der Patch fertig war und veröffentlicht werden konnte.

Anders sieht es bei Angriffen auf veraltete Versionen mit bekannten Schwachstellen aus. Im Fall von AngularJS gibt es ein sehr schönes Beispiel für einen Angriff über eine veraltete Version: Die Infrastructure-as-a-Service-Plattform Eucalyptus nutzt AngularJS für die Managementkonsole, und über die von Mathias Karlsson entdeckte Möglichkeit zum Ausbruch a...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang