![MXSS Attacks: Attacking well-secured Web Apps by using innerHTML Mutations [pdf]](/images/30C35D38-50C0-4017-9C71-2372BF1BBBC0)
Die wachsende Bedeutung von Webanwendungen hat parallele Fortschritte bei Sicherheitsmechanismen hervorgebracht, um Cross-Site-Scripting (XSS) und andere webbasierte Angriffe zu verhindern. Doch trotz innovativer Schutzmaßnahmen erleben Sicherheitsexperten eine neue, komplexere Angriffsklasse: mutation-basierte Cross-Site-Scripting-Angriffe, kurz mXSS. Diese gefährlichen Angriffe zielen auf tiefere Web-Komponenten ab und nutzen insbesondere das Verhalten der innerHTML-Eigenschaft in Browsern aus, um Schadcode einzuschleusen, der traditionelle Filter umgehen kann. Um die Tragweite und die Wirkungsweise der mXSS-Angriffe besser zu verstehen, ist es wichtig, die Grenzen der bisherigen Sicherheitsansätze zu erkennen und wie diese von mutierenden Browser-Mechanismen ausgehebelt werden. Server- und Client-seitige XSS-Filter gehen unter anderem davon aus, dass der HTML-Code, den sie ausgeben, mit dem übereinstimmt, der im Browser letztlich gerendert wird.
Dieser Grundsatz wird jedoch durch die Art und Weise infrage gestellt, wie moderne Browser die innerHTML-Eigenschaft verarbeiten. Dabei wird der übergebene HTML-Code oft vor dem Rendern im Browser modifiziert oder „mutiert“. Diese Mutation ist keine zufällige Veränderung, sondern das Resultat proprietärer Optimierungen im Rendering-Engine, die in verschiedenen Browserfamilien unterschiedlich ausfallen. Ein anfänglich scheinbar harmloser oder gefilterter HTML-String kann dadurch in einen schädlichen Code umgewandelt werden, der XSS-Angriffe ermöglicht. Dies schafft eine völlig neue Herausforderungen für sichere Webentwicklung, da etablierte Filtermethoden mithilfe von statischen Analysen am Server oder durch Browser-seitige Schutzmechanismen wie XSS Auditoren oftmals nicht ausreichen, um diese Form von Angriffen zu erkennen oder zu verhindern.
Betroffen sind dabei nicht nur kleinere Anwendungen, sondern auch hochprofitable und beliebte Webdienste wie Yahoo! Mail oder OpenExchange. Die Komplexität von mXSS-Angriffen resultiert insbesondere daraus, dass sie auf proprietäre Eigenheiten der Browser selbst setzen. Diese Veränderungen erfolgen während der dynamischen Manipulation der DOM-Struktur via innerHTML, wodurch ein zuvor durch Filter als sicher klassifizierter Eingabewert beim Rendering zum gefährlichen Schadcode mutiert. Im Kern bedeutet das, dass Angreifer gezielt moderne Browser-Optimierungen ausnutzen, um Sicherheitslücken zu generieren, die von klassischen Gegenmaßnahmen übersehen werden. Die Herausforderung in der Abwehr von mXSS-Angriffen liegt folglich sowohl im Verständnis der browserinternen Mutation-Mechanismen als auch in der Umsetzung von Schutzmaßnahmen, die über einfache Filterregeln hinausgehen.
Eine konsequente Anwendung von Content Security Policies (CSP) kann beispielsweise einen Schutzschild gegen die Ausführung schädlichen Codes bieten, auch wenn die Mutation stattfindet. Darüber hinaus sind Entwickler dazu angehalten, gefährdete Anwendungsmuster, die innerHTML intensiv nutzen, kritisch zu überdenken und mögliche Alternativen oder sicherere Methoden zur DOM-Manipulation einzusetzen, wie etwa die Nutzung von textContent oder speziellen DOM-Methoden, die keine unsicheren Mutationen hervorrufen. Forscher und Sicherheitsexperten haben festgestellt, dass diese Mutation-basierten XSS-Angriffe in verschiedene Subtypen eingeteilt werden können, von denen bisher nur wenige bekannt waren. Daraus ergeben sich differenzierte Angriffsszenarien, die jeweils aufs Neue anspruchsvolle Gegenstrategien erfordern. Die Untersuchungen zeigen ferner, dass die Performance-Optimierungen der Browser, die eigentlich zu einer schnelleren und effizienteren Verarbeitung von HTML-Inhalten dienen, ungewollt die Angriffsvektoren erweitern, da sie zu unvorhersehbaren Veränderungen im HTML führen können.
Trotz der Schwierigkeiten sind praktikable und ressourcenschonende Ansätze zur Abwehr von mXSS entwickelt worden. Dazu zählen neben CSP eine systematische Prüfung und Filterung der Eingaben bereits vor der Übergabe an innerHTML, beispielsweise durch Whitelists oder kontextsensitive Encoding-Methoden. Auch das Verständnis und die Untersuchung der jeweiligen Eigenheiten der Browser-Rendering-Engines sind von zentraler Bedeutung, um mutierte Inhalte vorausschauend zu erkennen und zu vermeiden. Die mXSS-Angriffe fordern Web-Entwickler, Sicherheitsbeauftragte und Browser-Hersteller gleichermaßen heraus. Da die Angriffe tief in den Browser-Prozess eindringen und das bisherige Sicherheitsmodell – basierend auf der Annahme unveränderter DOM-Inhalte – sprengen, werden innovative Ansätze zur Web-Sicherheit notwendig.
Für Unternehmen sowie Betreiber von Webanwendungen ist es deshalb unerlässlich, sich mit den Risiken von innerHTML-Mutationen auseinanderzusetzen und ihre Anwendungen anhand der neuesten Forschungsergebnisse gegen mXSS zu härten. Das bedeutet auch, dass Sicherheitsrichtlinien und Frameworks kontinuierlich an die Veränderungen moderner Browsermechanismen angepasst werden müssen, um auch künftigen Angriffsszenarien wirksam begegnen zu können. mXSS verdeutlicht, dass die Sicherheit von Webanwendungen kein statischer Zustand, sondern ein dynamischer Prozess ist. Die Interaktion zwischen Browser, DOM und Sicherheitsfiltern erzeugt einen wandelbaren Angriffsvektor, der nur durch ganzheitliches Sicherheitskonzept kontrollierbar ist. Neben technischen Maßnahmen ist daher auch die Sensibilisierung der Entwickler für solche neuen Angriffstechniken von hoher Bedeutung.
Die Kombination aus technischem Wissen über Browser-Mutationen und der Umsetzung sicherer Programmierpraktiken bildet die Grundlage für eine robuste Abwehr gegen die komplexen Angriffe der Zukunft. Zusammenfassend zeigt sich, dass mXSS ein bedeutender und unterschätzter Risikobereich bei der Web-Sicherheit geworden ist. Webentwickler sollten daher kritisch hinterfragen, wie sie HTML-Inhalte in ihren Anwendungen einbinden, und insbesondere das Einsatzgebiet von innerHTML sorgfältig evaluieren. Durch das Zusammenspiel von technischem Verständnis und gezielten Gegenmaßnahmen lässt sich die Verwundbarkeit gegenüber solchen ausgeklügelten Angriffen deutlich reduzieren und so die Integrität sowie Vertraulichkeit von Webanwendungen nachhaltig sichern.
![Geometry and the Imagination [pdf]](/images/175ED998-2FEF-4C84-82EF-D12BE85CD4C9)
