09.07.2006, 00:00 Uhr

Hotmail, MSN und Amazon anfällig für Angriffe per "Cross-Site-Scripting"

Die Zahl der Angriffe per Cross-Site-Scripting (XSS) nimmt weiter zu. Erst kürzlich hat ein 16jähriger Schüler aus den Niederlanden herausgefunden, dass der beliebte Free-Mail-Service Microsoft Hotmail eine Schwachstelle für XSS-Angriffe aufweist. Microsoft soll bereits vor einer Woche über diese Sicherheitslücke unterrichtet worden sein, hat bis dato jedoch noch keine Behebung veranlasst. Bei der Hotmail-Anmeldung wird ein Cookie erstellt, der Benutzern während des Besuchs der Domäne einen ununterbrochenen Zugriff auf den Dienst ermöglicht. Ein solcher Cookie kann jedoch von Hackern gestohlen und mit Hilfe von Tools wie Proxomitron gefälscht werden. Da Hotmail-Cookies nicht IP-gebunden sind, benötigen Hacker weder Passwort noch E-Mail-Adresse eines Opfers, um auf dessen E-Mail-Konto zuzugreifen und an vertrauliche E-Mails und andere persönliche Daten zu gelangen. Mit Hilfe des Cross-Site-Scripting (XSS) muss ein Angreifer lediglich JavaScript-Code platzieren, der den gefälschten Cookie mit einem Log-Script an einen Webserver schickt. Sicherheitsforscher Yash Kadakia ging mit Details zu Sicherheitslücken bei MSN und Amazon.com an die Öffentlichkeit, nachdem die Unternehmen nicht auf seine Hinweise reagiert hatten und die Schwachstellen unbehoben blieben. Ähnlich wie bei Hotmail weisen diese Sites Schwachstellen für Angriffe per Cross-Site-Scripting und CRLF-Injection (Carriage Return Line Feed) auf. Diese könnten es Hackern erlauben, Datendateien zu stehlen, über die sie Zugang zu Benutzerkonten von Amazon.com und MSN erhalten. Ebenso möglich wäre die Anzeige einer gefälschten Login-Seite im Rahmen von Phishing-Angriffen.Der Vulnerability Scanner von Acunetix überprüft die Sicherheit einer Website, indem automatisch nach Anfälligkeiten für Angriffe per SQL-Injection, Cross-Site-Scripting, CRLF-Injection und ähnlichen Schwachstellen gesucht wird. Der Scanner kontrolliert die Zuverlässigkeit von Passwörtern auf Authentifizierungsseiten und führt selbsttätig ein Sicherheits-Audit von Einkaufswagen, Formularen, dynamischen Inhalten und anderen Web-Applikationen durch. Ist der Scan beendet, wird anhand eines umfassenden Berichts erläutert, in welchen Bereichen Schwachstellen gefunden wurden. Weitere Infos unter: (bbs)
http://www.acunetix.de
Artikel drucken
(OPC) Redaktion
Das könnte Sie auch interessieren
#LockedShields2024 vor 2 Tagen
Auch Schweizer Armee nimmt an grösster internationaler Cyber-Übung teil
Das Kommando Cyber der Schweizer Armee nimmt im April zusammen mit nationalen und internationalen Partnern an der weltweit grössten Cyber Defense Übung #LockedShields2024 teil.
 
vor 2 Tagen
WebGPU 15.04.2024
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
15.04.2024
Betrugsversuch 14.04.2024
Angeblicher TWINT-Gutschein entpuppt sich als Account Takeover
Cyberkriminelle versprechen in einem E-Mail, welches angeblich von TWINT stammt, einen Treuegutschein im Wert von 100 Franken. Mit den erhaltenen Informationen versuchen die Betrüger das TWINT-Konto zu übernehmen.
 
14.04.2024
World Cybercrime Index 11.04.2024
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend.
 
11.04.2024