Facebook unterstützt Ihre XSS-Attacken

Wie Sie persistente XSS-Attacken über die Facebook Plattform abwickeln können

Es ist heute gängige Praxis, persistente Cross-Site-Scripting Angriffe nicht selbst durchzuführen, sondern Webspider und andere Internetnutzer vorzuschieben und diesen die eigentliche Attacke unterzujubeln. Der Grund dafür ist einfach: Man möchte selbst nicht als Urheber des Angriffs auftreten, sondern versteckt sich hinter den IP-Adressen seiner Opfer. So gelingt es vielen Angreifern, die rechtlichen Konsequenzen ihres Handelns zu umgehen.

Neben den klassischen Methoden, bei denen ein Angreifer einen präparierten Link entweder einem Internetnutzer via E-Mail, in Chats oder analog zukommen lässt, oder diesen Link auf einer Webseite platziert und darauf wartet, dass Suchmaschinen diesen Link folgen, eröffnen sich durch den Missbrauch eines Systems wie Facebook völlig neue Möglichkeiten.

Die Idee dabei ist es, ähnlich wie beim Missbrauch von Suchmaschinen, einen manipulierten Link in ein automatisiertes System einzuschleusen und darauf zu warten, dass dieser Link besucht wird. Während das bei Suchmaschinen allerdings abhängig davon, wo man diesen Link platziert, mehrere Tage lang dauern kann und außerdem vor allem bei Suchmaschinen wie Google die Gefahr besteht, dass eine Cross-Site-Scripting-Attacke anhand des Hyperlinks erkannt wird, kann man sich bei Facebook darauf verlassen, dass der Link sofort besucht wird, besser noch, man muss diesen Link nicht einmal veröffentlichen.

Das liegt vor allem daran, dass Facebook zu Links, die die Benutzer innerhalb von Statusmitteilungen oder auch Chat-Nachrichten eingeben, automatisch eine Vorschau der betreffenden Seite generiert. Natürlich ist es dafür erforderlich, die Seite auch abzurufen und das passiert nicht etwa im Browser des Benutzers selbst, sondern über die Facebook-Server. Platziert man also innerhalb einer Nachricht oder innerhalb einer Statusmitteilung einen Link, der auf der Zielseite einen persistenten Cross-Site-Scripting-Angriff auslöst, so wird dieser Angriff in dem Moment ausgeführt, in dem Facebook diesem Link folgt, um das Vorschaubild der Seite zu generieren.

Der Vorteil für Sie: Indem Sie das Senden dieser Nachricht abbrechen oder die Statusmitteilung wieder löschen, bevor Sie sie veröffentlichen, minimieren Sie die Zahl der Spuren, die dabei zu Ihnen führen, schließlich haben Sie diesen Link dann nie veröffentlicht.

Natürlich sollte klar sein, dass durchaus die Möglichkeit besteht, dass Facebook speichert, woher ein Link, den das System besucht hat, ursprünglich kam, schließlich speichert Facebook auch alle anderen Daten seiner Nutzer, im Zweifelsfall ist also auch diese Attacke auf ihren Urheber zurückzuführen, wenn keine weiteren Maßnahmen zur Verschleierung der Identität getroffen wurden.

Besonders interessant in diesem Kontext wäre auch eine Untersuchung reflektierter Cross-Site-Scripting-Attacken. Schließlich ist durchaus anzunehmen, dass der Facebook-Webspider auch JavaScript-Inhalte interpretieren kann und davon regen Gebrauch macht.