In diesem Artikel wollen wir darstellen wie einfach es ist, Cross Site Scripting (XSS) per modifizierten Youtube Links durchzuführen. Die Vorraussetzungen dafür sind eine Webplattform, die es Ihren Usern erlaubt Links auf Youtube Videos anzugeben, die dann z.B. im User Profil angezeigt werden.
Hintergrund Info: bei Cross-Site Scripting (XSS) versucht ein Angreifer schädlichen Code in eine Webseite einbetten und um das zu verhindert gibt es die sog. Content Security Policy (CSP). Diese legt fest, welche externen Ressourcen geladen werden dürfen. Doch eine falsche Konfiguration der CSP kann Tür und Tor für Angreifer öffnen, von Datendiebstahl bis hin zur Kontrolle des Benutzerkontos.
Wenn zum Beispiel die CSP so konfiguriert ist, dass sie ‚unsafe-inline‘ erlaubt und zudem Skripte von der Domain youtube.com zulässt, kann dies Angreifern eine Angriffsfläche bieten. Webanwendungen, die Nutzern erlauben, Youtube Inhalte hochzuladen und diese zu rendern würden wahrscheinlich intuitiv folgende CSP Policy implementieren:
Content-Security-Policy:
default-src 'self';
script-src 'self' 'unsafe-inline' https://www.youtube.com;
img-src 'self';
style-src 'self';
frame-src 'self' https://www.youtube.com;
Die vermeindlich sicher scheinende CSP Policy lässt sich aber ganz leicht aushebeln, wenn ein Nutzer einen eingebetteten YouTube-Link hochlädt und dabei einen manipulierten Link zu verwendet, wie etwa:
<script src="https://www.youtube.com/oembed?url=http://www.youtube.com/watch?v=D_Qx7mPqDuw&format=json&callback=alert(0)"></script>
Dieser Link führt beim Laden der Seite eine JavaScript-Funktion aus, die eigentlich zu einem Video führen sollte. Stattdessen löst sie jedoch eine ‚alert()‘ Funktion aus, was ein klarer Hinweis auf eine XSS-Sicherheitslücke ist. In der Praxis könnte der schädliche Code weitaus gefährlichere Aktionen ausführen, wie etwa das Stehlen von Cookies oder das Umleiten auf Phishing-Seiten.
Die Notwendigkeit einer sorgfältigen Konfiguration der CSP und regelmäßigen Überprüfungen der Sicherheitsrichtlinien ist offensichtlich. Daher ist unbedingt sicherzustellen, dass die CSP stark genug ist, um XSS-Angriffe effektiv zu blockieren, ohne dabei die Funktionalität der Webseite zu beeinträchtigen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: