Hotmail, MSN und Amazon anfällig für Angriffe per Cross-Site-Scripting

Die Zahl der Angriffe per Cross-Site-Scripting (XSS) nimmt weiter zu. Erst kürzlich hat ein 16jähriger Schüler aus den Niederlanden herausgefunden, dass der beliebte FreE-Mail-Service Microsoft Hotmail eine Schwachstelle für XSS-Angriffe aufweist. Microsoft soll bereits vor einer Woche über diese Sicherheitslücke unterrichtet worden sein, hat bis dato jedoch noch keine Behebung veranlasst. Acunetix, Experte im Bereich Web-Applikationssicherheit, hilft mit seinem Website-Sicherheitsscanner Acunetix Web Vulnerability Scanner (WVS), Gefahren wie XSS-Anfälligkeiten von Web-Anwendungen rechtzeitig zu erkennen. Ein kostenfreies Audit zum Feststellen von Web-Schwachstellen kann beantragt werden unter http://www.acunetix.de/security-audit/.

Hotmail-Hacking per XSS
Bei der Hotmail-Anmeldung wird ein Cookie erstellt, der Benutzern während des Besuchs der Domäne einen ununterbrochenen Zugriff auf den Dienst ermöglicht. Ein solcher Cookie kann jedoch von Hackern gestohlen und mit Hilfe von Tools wie Proxomitron gefälscht werden. Da Hotmail-Cookies nicht IP-gebunden sind, benötigen Hacker weder Passwort noch E-Mail-Adresse eines Opfers, um auf dessen E-Mail-Konto zuzugreifen und an vertrauliche E-Mails und andere persönliche Daten zu gelangen. Mit Hilfe des Cross-Site-Scripting (XSS) muss ein Angreifer lediglich JavaScript-Code platzieren, der den gefälschten Cookie mit einem Log-Script an einen Webserver schickt.

Offene Schwachstellen in MSN und Amazon
Sicherheitsforscher Yash Kadakia ging mit Details zu Sicherheitslücken bei MSN und Amazon.com an die Öffentlichkeit, nachdem die Unternehmen nicht auf seine Hinweise reagiert hatten und die Schwachstellen unbehoben blieben. Ähnlich wie bei Hotmail weisen diese Sites Schwachstellen für Angriffe per Cross-Site-Scripting und CRLF-Injection (Carriage Return Line Feed) auf. Diese könnten es Hackern erlauben, Datendateien zu stehlen, über die sie Zugang zu Benutzerkonten von Amazon.com und MSN erhalten. Ebenso möglich wäre die Anzeige einer gefälschten Login-Seite im Rahmen von Phishing-Angriffen.

Microsoft war bereits vor ungefähr einem Jahr von ihm auf das Problem hingewiesen worden, so Kadakia. Dennoch hatte das Unternehmen die Warnung so lange ignoriert, bis der Sicherheitsexperte Ende letzter Woche auf seiner Website Screenshots der erfolgreichen Kompromittierung der MSN-Site veröffentlichte. Die Schwachstelle von Amazon.com hat Kadakia letzten Dezember entdeckt. Bislang steht auch hier eine Behebung noch aus, so Kadakia.

Tiefenkontrolle von Web-Anwendungen
Acunetix Web Vulnerability Scanner (WVS) führt automatisch Sicherheits-Audits von Web-Anwendungen und Websites durch und überprüft, ob diese beispielsweise Anfälligkeiten für Hacks per Cross-Site-Scripting oder CRLF-Injection aufweisen. Mit einer automatisierten Kontrolle der Websites von Hotmail, Amazon und MSN per Acunetix WVS wären deren Schwachstellen rechtzeitig aufgespürt worden - Vertrauensverlust, die Schädigung des Konsumentenvertrauens und Geschäftseinbußen hätten sich vermeiden lassen.

Kostenfreies Web-Audit von Acunetix zum Festellen des Gefährdungsgrads einer Unternehmens-Website
Unternehmen, die die Sicherheit Ihrer Website überprüfen lassen möchten, können ein kostenfreies Angebot von Acunetix wahrnehmen und sich unter http://www.acunetix.de/security-audit/ für ein Web-Audit ihrer Site registrieren lassen. Teilnehmer erhalten nach dem Scan einen zusammenfassenden Bericht zu allen gefundenen Sicherheitslücken, die geschlossen werden sollten, um Hackern keinen Zugang zu vertraulichen Daten zu ermöglichen. Die Erstellung der Berichte erfolgt innerhalb von fünf Arbeitstagen.

Über Acunetix Web Vulnerability Scanner
Acunetix Web Vulnerability Scanner überprüft die Sicherheit einer Website, indem automatisch nach Anfälligkeiten für Angriffe per SQL-Injection, Cross-Site-Scripting, CRLF-Injection und ähnlichen Schwachstellen gesucht wird. Der Scanner kontrolliert die Zuverlässigkeit von Passwörtern auf Authentifizierungsseiten und führt selbsttätig ein Sicherheits-Audit von Einkaufswagen, Formularen, dynamischen Inhalten und anderen Web-Applikationen durch. Ist der Scan beendet, wird anhand eines umfassenden Berichts erläutert, in welchen Bereichen Schwachstellen gefunden wurden.

Über Acunetix
Acunetix hat sich zum Ziel gesetzt, Gefahren durch unzureichend gesicherte Web-Applikationen aufzuzeigen. Das Hauptprodukt des Unternehmens, Acunetix Web Vulnerability Scanner, spürt Sicherheitsschwachstellen von Websites auf und wurde in mehrjähriger Entwicklungsarbeit von einem Team erfahrener Profis im Bereich Sicherheitssoftware konzipiert. Acunetix befindet sich in privater Hand und ist weltweit mit Niederlassungen in Europa (Malta), Seattle (USA), und London (GB) vertreten. Weitere Informationen zu Acunetix stehen bereit unter http://www.acunetix.de, www:acunetix.com.

Weitere Informationen
Acunetix Ltd
Tamara Borg tamaraacunetix.com
Tel: (+44) 0845 6126712
Fax: (+44) 0845 6126716
E-Mail: tamaraacunetix.com
Internet: http://www.acunetix.de

07.07.2006 - 18:02 Quelle: pressetext.de | Gelesen: 252 X