:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/6e/a8/6ea8547b0fb110921fb8b4b40e9c7eb9/0114132511.jpeg "Eine simple Slideshow samt Vollbildmodus? Kein Problem für Bard und GPT-4. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/3c/b7/3cb778bf0cf16cf4172cb4d902bcb933/0113979637.jpeg "Der 2023 Cloud Developer Survey Report berichtet, was Entwickler, Architekten und andere Cloud-Experten über den aktuellen Stand der Branche denken. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Checkmarx findet kritische Lücken in Helpdesk-Software XSS-Schwachstelle in Deskpro dokumentiert
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Trotz aller Initiativen zur sicheren Software-Entwicklung sind Cross-Site-Scripting, kurz XSS-Lücken weiterhin verbreitet. Die Helpdesk-Software Deskpro, welche die Security-Experten von Checkmarx unter die Lupe genommen haben, ist ein gutes Beispiel dafür.
Im Zuge der Corona-Pandemie und der Verlagerung von Arbeitsplätzen ins Homeoffice steigt die Nachfrage nach smarten Helpdesk- und Collaboration-Lösungen rasant. Mit Blick auf diesen Boom entschied sich das Checkmarx Security Research Team, die Sicherheit von Deskpro zu überprüfen.
Dabei entdeckten die Security-Experten in der weltweit verbreiteten Lösung eine gefährliche Cross-Site-Scripting-Schwachstelle. Cyberkriminelle hätten diese gleich auf mehreren Wegen ausnutzen können, um die Sitzungen von Administratoren zu kapern oder die Konten von Helpdesk-Agents zu übernehmen.
Szenario 1: Übernahme von Admin-Sessions
Als Helpdesk-Lösung trackt Deskpro bei jeder Session die Aktivitäten des Anwenders und überträgt die zwischen dem Support-Mitarbeiter und dem Client gesammelten Daten in einer Payload. Diese enthält verschiedene Details zu besuchten Seiten, etwa deren URL, Seitentitel sowie die Seite, von der der Benutzer kam. Mit diesen Daten erstellt Deskpro anschließend Statistiken, die den Administratoren über das integrierte Dashboard „Ticket Insight“ zur Verfügung stehen.
Genau an diesem Punkt konnten Cyberkriminelle ihren Hebel ansetzen, indem sie unbemerkt beliebigen Code in eine sogenannte „request page title“-Abfrage einfügen. Die Daten werden dann in der Deskpro-Datenbank gespeichert und werden immer dann geladen, wenn das Widget „Top KB Views“ gerendert wird. In diesem Fall wird der Code im Kontext des Browsers ausgeführt und ein modales Dialogfeld im Admin-Backend angezeigt.
Angreifer können diese Funktion natürlich leicht ausnutzen, indem sie Schadcode in Anfragen einbetten und das Session-Token des Administrators auf einen von ihnen kontrollierten Server leiten. Das funktioniert, obwohl das Sitzungs-Cookie die httpOnly Flag hat – denn sein Wert ist auch über JavaScript verfügbar, indem auf die globale, fest codierte Variable DESKPRO_SESSION_CODE zugegriffen wird.
Haben die Angreifer den Sitzungscode des Administrators ausgespäht, können sie ihn in ihrem eigenen Browser platzieren und in der Rolle und mit den Rechten des Admins unbefugt Aktionen ausführen. Auf diese Weise erlangen sie Zugriff auf das gesamte System – auf Kundendaten, Eingaben von Agents (Tickets, CRM usw.) sowie auf die Systemkonfiguration (z. B. SMTP-Server-Anmeldeinformationen). In bestimmen Konstellationen sind sie sogar in der Lage, den Helpdesk vollständig zurückzusetzen und alle Systemdaten zu löschen.
Szenario 2: Missbrauch von Supporter-Accounts
Die Checkmarx Experten haben aber noch einen weiteren Weg gefunden, wie sich Kriminelle Zugriff auf eine Deskpro-Instanz verschaffen können – in diesem Fall mit den Agent-Rechten eines Supporters. Auch dazu wird wie beim zuvor beschriebenen „Admin-Hack“ eine Payload mit Schadcode in der Deskpro-Datenbank eingeschleust.
Öffnet der Agent ein Dashboard mit dem Widget „Top KB-Ansichten“ (z. B. das eingebaute Dashboard „Ticket Insights“), wird das Skript ausgeführt. Nach dieser Ausführung fügt das Schad-Skript dem Konto des Agents ohne dedizierte Warnmeldung automatisch eine zweite, vom Angreifer kontrollierte E-Mail-Adresse hinzu. Das erforderliche Anfrage-Token kann der globalen Variable DP_REQUEST_TOKEN entnommen werden.
Um das Konto des Support-Agents zu kapern, geht der Angreifer anschließend auf die Anmeldeseite des Agents. Dort löst er die Kennwort-Wiederherstellung aus und gibt seine eigene E-Mail-Adresse an, die zuvor über die manipulierte Payload eingeschleust worden ist. Der Angreifer erhält so eine E-Mail mit einem Link zum Zurücksetzen des Kennworts in seinen Posteingang.
Danach ist er in der Lage, auf das Konto des Agents zuzugreifen und Aktionen in dessen Namen auszuführen. Dazu muss der Angreifer lediglich die ursprüngliche E-Mail-Adresse des regulären Supporters entfernen, um seine Adresse zur primären Adresse machen. Für den legitimen Agent ist es danach nicht mehr möglich, die Kontrolle über das Konto zurückzugewinnen.
Wie sich Software-Anbieter vor XSS schützen können
Einen Schutz vor den beschriebenen Infiltrationen bietet nur eine korrekte Datenkodierung/Escaping entsprechend dem Ausgabekontext, typischerweise bevor sie mit Markup-Vorlagen zusammengeführt oder an das Document Object Model (DOM) angehängt werden. Ist der Einsatz von Inline-Skripten unvermeidlich, sollten sogenannte kryptografische Nonces verwendet werden, um für die erforderlichen Inline-Skripte eine dedizierte Erlaubnis-Liste zu erstellen.
Darüber hinaus empfiehlt es sich, Benutzer in einigen Fällen erneut zu authentifizieren, etwa wenn sie sensible Aktionen durchführen. Dazu zählt beispielsweise das Ändern von E-Mail-Adressen, die mit einem Konto verbunden sind. Der Kontobesitzer sollte in Echtzeit über derartige Änderungen informiert werden. So kann er bei verdächtigen Aktivitäten direkt und damit rechtzeitig handeln.
Behebung der Schwachstelle in Rekordzeit
Nachdem die Experten von Checkmarx die Schwachstelle entdeckt und validiert hatten, informierten sie Deskpro am 31. Oktober 2020 und unterstützten den Helpdesk-Anbieter dabei, die Schwachstelle zu beheben. Deskpro hat in Rekordzeit mit einem Patch reagiert, der die beschriebenen Lücken schloss: Am 9. November 2020 war das Problem gelöst.
Obwohl sie so alt wie die Application Security selbst und gut dokumentiert sind, gehören XSS-Schwachstellen nach wie vor zu den am häufigsten übersehenen und gefährlichsten Problemen. Tests der Anwendungssicherheit, wie sie etwa Checkmarx anbietet, sind der Schlüssel zum Aufspüren von XSS-Schwachstellen. Damit sind diese Lösungen unverzichtbar, um sichere Software zu erstellen, einzusetzen und zu warten.
* Dr. Christopher Brennan ist Director DACH bei Checkmarx.
(ID:47292139)
:quality(80)/p7i.vogel.de/wcms/4a/ce/4ace1388f08a8b4ff4f3e940017d3b60/0105670527.jpeg "Python ist nicht zuletzt aufgrund seiner Robustheit beliebt, vor Sicherheitslücken gefeit ist man dennoch nicht. (Bild: Hitesh Choudhary (@hiteshchoudhary))")
:quality(80)/p7i.vogel.de/wcms/b3/81/b3813fc589eb3fbc52f98da90954f5dc/0111207772.jpeg "Kritische Informationen können über Schwachstellen in der Open Time Series Database abfließen. (Bild: <a href=https://pixabay.com/de/users/moritz320-1260270/>moritz320</a>)")