☰ X
Logo c-schell.de

Cross Site Scripting Probleme bei Paypal

von C. Schell

Bis vor kurzem hatte der Online-Bezahldienst Paypal eine leichtsinnige Sicherheitslücke.

Durch einen speziellen URL Code konnte man von den SSL-gesicherten Seiten unter https://www.paypal.com, wo auch der Kunden-Login und die Bezahlvorgänge abgewickelt werden, sensible Daten der Nutzer durch XSS erspähen.

Schwachstelle: Die Suchfunktion hat die Benutzereingaben nicht richtig gefiltert

Exploit: Einfaches Cross Site Scripting

Ein Beispiel:

Hier ein primitiver Java-Script-Code, der in ähnlicher Weise auch bei Paypal eingesetzt werden konnte (hier wird das ausspionierte Passwort in einem "alert" ausgegeben - ein Angreifer würde es unbemerkt in einer Datenbank speichern):

function daten_anfordern() { 
  login = window.open("seite-mit-login.php"); 
  login.onload = function() {
    login.document.forms[0].onsubmit = ausspionieren; 
  }
  setTimeout("login.document.forms[0].onsubmit = ausspionieren;", 1000);
} 
  
function ausspionieren() { 
  alert('Dein ausspioniertes Passwort lautet: ' +
  login.document.forms[0].password.value + ' !'); 
}

<a onclick="daten_anfordern();" href="#">Demo</a>

Die Funktion "daten_anfordern()" wird gestartet. Bei klick auf einen Link öffnet sich ein neuer Tab mit dem inhalt von "seite-mit-login.php". Danach hängt die "onload-Function" nach dem Laden die Funktion "ausspionieren()"  an das Formular an und schon kann der Angreifer das Passwort und den Benutzernamen des Opfers unbemerkt in seine Datenbank schreiben. Das funktioniert natürlich nur, wenn - wie im Fall von Paypal - es dem Angreifer ermöglicht wird, JavaScript auf einem Server einschleusen zu können bzw. dem Browser vorzugaukeln, sein Code käme von diesem Server.

Abhilfe:

In erster Linie liegt die Pflicht bei den Betreibern der Webseiten. Sie müssen darauf achten, dass die Eingaben von Anwendern ausreichend gefiltert werden. Wenn, wie im Fall von Paypal dies nicht geschieht, können Nutzer sich nur vor einem solchen Angriff sicher schützen, wenn sie Java-Script im Browser deaktivieren. Weitere Gründe, um Java-Script zu deaktivieren, und nützliche Software finden Sie hier.

Zurück

^