XSS-Anfälligkeit wird all zu oft ignoriert

eBay-Sprecher Ryan Moore sagte in der vergangenen Woche, dass sich das Unternehmen in der Pflicht sieht, einen sicheren Marktplatz für seine Kunden zu schaffen. Man würde schnell an der Behebung arbeiten. Am Montag wurde die Lücke geschlossen. Offenbar wurde der Bug in der Zwischenzeit von niemandem ausgenutzt.

MLT betont in seinem Blogpost allerdings, dass sich große Unternehmen bislang nur unzureichend um die Gefahr von XSS-Angriffen kümmern. Bestes Beispiel ist für ihn das Verhalten von eBay. Der Online-Marktplatz hatte bereits im letzten Jahr mit einem XSS-Bug zu kämpfen. eBay brauchte allerdings ein Jahr, um das Problem aus der Welt zu schaffen.

XSS oder Cross Site Scripting ist das Ausnutzen von Sicherheitslücken in Webanwendungen. Verhindert das Serverscript das nicht, werden manipulierte Daten an den User gesendet. Diese Daten sind oft Code einer clientseitigen Skriptsprache, meist JavaScript, und suggerieren dem Anwender, er befände sich in einem vertrauenswürdigen Kontext.

Auf diese Weise lässt sich zum Beispiel ein Link zu einer Phishing Seite in die reguläre Webseite von eBay setzen, so dass es aussieht, als wäre es die Login-Seite von eBay. Auch optisch sieht die Seite identisch aus. Gibt der User dann Benutzername und Passwort ein, bekommt er eine Fehlermeldung. Zuvor werden die Daten jedoch abgegriffen.

Laut MLT ist das Problem, besonders bei eBay, dass die Hauptdomain so anfällig für XSS ist. Dafür gebe es allerdings keine Entschuldigung, denn mittlerweile existieren Technologien, die Cross Site Scripting verhindern. So hatte Facebook in der Vergangenheit ebenfalls häufig Probleme mit XSS-Angriffen. Inzwischen hat das Unternehmen aber die richtigen Sicherheitsmaßnahmen ergriffen, die Cross Site Scripting verhindern.