Cyber-Security-Forscher warnen vor Angriffen

ReDos-Schwachstellen in JavaScript-basierten Webseiten

| Autor: Stephan Augsten

JavaScript-Schwachstellen lassen Webseiten durch eine einzige Anfrage „einfrieren“ – andere Nutzer können nicht mehr zugreifen. Angreifer können so Webseiten gezielt abschalten.
JavaScript-Schwachstellen lassen Webseiten durch eine einzige Anfrage „einfrieren“ – andere Nutzer können nicht mehr zugreifen. Angreifer können so Webseiten gezielt abschalten. (Bild: CRISP)

Über anfällige JavaScript-Software-Module lassen sich Webseiten mittels „Regular Expression Denial of Service“-Attacken gezielt einfrieren. Vor einem solchen Angriffsszenario warnen Wissenschaftler am Center for Research in Security and Privacy, CRISP, der TU Darmstadt.

Als Leiter des Software Labs der Technischen Universität Darmstadt überprüft Professor Michael Pradel mit seinem Team die Internet-Auftritte von Unternehmen und untersucht Webseiten, die JavaScript‐basierte Module nutzen, auf potenzielle Schwachstellen. Jüngst sind Pradel und sein Mitarbeiter Christian-Alexandru Staicu dabei auf insgesamt 25 ReDos-Schwachstellen in JavaScript-basierten Server-Implementierungen gestoßen.

Bei einer ReDoS-Attacke lässt sich eine Webseite mit nur einer gezielten http-Anfrage sekunden- und minutenlang blockieren. Der Server im Hintergrund ist mit der Verarbeitung derart beschäftigt, dass er keine weiteren Anfragen beantworten kann. Die Wissenschaftler identifizierten rund 300 teils sehr populäre Webseiten, denen auf diese Weise beizukommen ist.

Auf diesem Weg könnten politisch motivierte Angreifer dafür sorgen, dass News zeitverzögert an die Öffentlichkeit gelangen, oder beispielsweise Betreibern von Online-Shops schaden, warnt Professor Pradel. Die Schwachstellen wurden zwischenzeitlich in die Node Security Plattform aufgenommen. Die Anbieter der Module wurden von den Darmstädter Wissenschaftlern ebenfalls informiert und auf die Sicherheitslücken hingewiesen. Dank Pradel und seinem Team sind die meisten Anfälligkeiten mittlerweile behoben.

Pradel und sein Team forschen für das Center for Research in Security and Privacy (CRISP) an sicheren Web-Anwendungen. Die Wissenschaftler entwickeln skalierbare Programmanalysen für JavaScript‐basierte Software, die Schwachstellen finden und aufdecken sollen. Eine neuartige Kombination von Analysen bei der Ausführung dieser Software und Verfahren zur Generierung von Interaktionssequenzen ermöglicht es, das Verhalten solch komplexer Internetanwendungen vollautomatisch zu analysieren und Sicherheitslücken aufzudecken.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45232108 / Web Apps)