XSS-Trends und Internet Explorer

  • Article

Bereits 2005 galt XSS (Cross-Site Scripting, siteübergreifendes Skripting) als das am häufigsten gemeldete Sicherheitsrisiko von Software. Eine aktuellere Untersuchung von Veracode mit Daten der Web Hacking Incident Database zeigt, dass XSS das häufigste Sicherheitsrisiko in Webanwendungen ist und in Bezug auf reale Attacken den zweiten Platz belegt.

Das Diagramm zeigt XSS als häufigstes Sicherheitsrisiko, 68 % aller Webanwendungen sind betroffen. Informationsdiebstahl liegt an zweiter Stelle, 66 % aller Webanwendungen sind betroffen.
Diagramm ist Eigentum von Veracode. Veröffentlichung mit freundlicher Genehmigung.

Die Daten des Microsoft Security Response Center (MSRC) belegen den Zuwachs in gemeldeten XSS-Sicherheitsrisiken:

Das Diagramm zeigt die Zunahme an gemeldeten XSS-Sicherheitsrisiken; 2004: 1, 2005: 3, 2006: 7, 2007: 16, 2008: 9, 2009: 7, 2010: 8, 2011: 22 und schließlich 39 im ersten Halbjahr 2012.
Zunahme gemeldeter XSS-Sicherheitsrisiken zwischen 2004 und 2012 (erstes Halbjahr)

Das oben abgebildete Diagramm zeigt, wie über die Jahre hinweg andere Sicherheitsrisiken von der XSS-Problematik prozentual verdrängt werden.

Um den Schutz der Benutzer zu verbessern, implementierte Internet Explorer als erster Browser verschiedene, sich ergänzende Abwehrmaßnahmen bezüglich XSS, z. B. httpOnly-Cookies, security=restricted IFRAMES, toStaticHTML() und den IE XSS-Filter. In IE10 wird erstmalig Unterstützung für den neuen HTML5-Standard IFRAME Sandbox implementiert, sodass Entwickler von Webanwendungen das Verhalten eingebetteter Inhalte besser steuern können. Diese Anstrengungen werden fortgesetzt. Denn die realen Daten zeigen weiterhin eine Zunahme der relativen XSS-Sicherheitsrisiken.

Um die Wirkung des IE XSS-Filters zu überprüfen, haben wir alle im ersten Halbjahr 2012 dem MSRC gemeldeten Sicherheitsrisiken eingehend analysiert. Diese Untersuchung belegt, dass der IE XSS-Filter derzeit 37 % aller dem MSRC gemeldeten Sicherheitsrisiken abdeckt. (Um diese Zahlen in einen Zusammenhang zu stellen: Eine weiteres häufig gemeldetes Sicherheitsrisiko ist die Speichersicherheit, die innerhalb des gleichen Datensatzes 24 % der Sicherheitsrisiken ausmacht.)

Der IE XSS-Filter ist ein weiteres Beispiel dafür, dass unsere Bedrohungsminderung über Minderungen bzgl. Speichersicherheit wie ASLR und DEP/NX hinausreicht. Da immer mehr Kunden und Unternehmen Webtechnologien nutzen, steigt die Bedeutung der Minderung von Risiken wie XSS und anderen Sicherheitsrisiken enorm. Wir freuen uns über den Erfolg der Risikominderung in Bezug auf XSS – gleichzeitig nehmen wir jedoch weitere Innovationen in Sachen Risikominderung in Angriff.

– David Ross, Principal Security Software Engineer, Microsoft Security Response Center