Cross Site Scripting (XSS) Erklärung, Beispiel und Schutz

In diesem, wahrscheinlich etwas längerem, Blogeintrag möchte ich die Gefahren von XSS Lücken aufzeigen, ein praktisches Beispiel zeigen und zeigen, wie man XSS Lücken effektiv schließt.
Inhalt:

  • Was sind XSS Lücken?
  • Welche Gefahren entstehen durch XSS Lücken?
  • Wie schützt man sich vor XSS Lücken?

1. Was sind XSS Lücken?
XSS Lücken werden leider von sehr vielen Administratoren unterschätzt. Viele schützen sich gar nicht, oder nur sehr unzureichend. Daher ist es auch nicht verwunderlich, dass ich selbst auf der Seite der Telekom, Eplus etc. solche Lücken schon fand. Zugegebener maßen waren dies zwar keine persistenten XSS Lücken (So nennt man die Art von XSS Lücke, bei der der Code dauerhaft auf der Seite bleibt), aber dennoch sollte man sie nie unterschätzen.
Was ist nun aber genau eine XSS Lücke? Eine XSS Lücke ist eine Sicherheitsschwachstelle auf einer Internetseite, bei der der Angreifer beliebigen Code (meist Javascript) auf der Seite platziert, sodass dieser von den Usern ausgeführt wird. Dies geschieht dadurch, dass Benutzereingaben, ohne überprüft zu werden direkt auf der Seite ausgegeben werden. Wenn der Angreifer dann beispielsweise den Code

<script>alert('XSS')</script>

auf der Seite platziert, würde jeder Benutzer einer Meldung bekommen , in der ‘XSS’ steht (Wer es einmal sehen will kann hier klicken. Da dies noch eine sehr harmlose Attacke wäre, kommen wir nun zu den etwas gefährlicheren.[Read More…]

Inkasso Trojaner unpacking ASPack

Weiter geht es mit Teil 2 dieses Blogeintrages. Wer die Vorgeschichte nicht kennt: http://nbusch.de/?x= … y:entry130619-171120
Um dieses Tutorial nachvollziehen zu können braucht ihr Grundkenntnisse über Portable Executable (PE) Dateien (also .exe ;) ) und Grundlegende Kenntnisse über Reversing.

Nun wollte ich mir die sehr seriös wirkende Rechnung von „Nico Gross Inkasso“ angucken. [Ironie]Da meine gesamten Office Tools das, anscheinend brandneue, Dateiformat .com nicht kannten und ich die Rechnung nicht sehen konnte, dachte ich, dass ich sie genau analysiere.[/Ironie]
Also dachte ich mir, schaue ich mir mal den Dateikopf an.
Für die Leute mit Linux System (Die Leerzeichen müssen mit Backshlashes escaped werden):

hd Kostenrechnung\ Niklas\ Busch\ Inkasso\ Reichelt\ GmbH\ Online.com | more 

hex.png
Huuuuuuuuuuch, was ist denn das? Ein PE Header. Wer hätte denn damit gerechnet? Spätestens jetzt war mir das klar, was mir von Anfang an klar war, die Datei ist ein Trojaner. Also startete ich meine Windows VM und schaute, was ich noch über die Datei herausfinden kann.[Read More…]