Web Tipp

HTML5 Security Cheatsheet – Die neuen Gefahren erkennen

Mit dem neuen HTML5 gibt es viele zusätzliche HTML-Tags und Angaben. Viele Neuerungen sind einfach nur praktisch und bringen coole Features mit rein. Mit jeder Neuerung gibt es aber Sachen, die gar nicht so schön sind wie sie klingen. Vor allem in Verbindung mit XSS Sicherheitslücken kann die Sache übel ausgehen.

html5-formaction-xss

Ein kleines Beispiel: Das neue Attribute formaction=““. Mit dieser Angabe wird das normale action=““ Attribute in Formularen überschrieben. Somit ist es, sofern eine XSS Lücke besteht, möglich, auf eine ganz andere Seite weiterzuleiten. Speichert man also über die XSS Lücke ein Hidden-Field, wo der formaction=““-Attribute auf eine Phishingseite verweist, wird jeder, der den Datensatz speichert, auf die Seite mit dem anschließenden Schadcode weitergeleitet. Leichtes Spiel also, wenn man Formulare nicht gut genug absichert!

Wo und wie man die neuen Gefahren erkennen kann, wird auf html5sec.org (HTML5 Security Cheat Sheet) erklärt. Mit einfachen Beispielen wird einem zusätzlich gezeigt, wie unschön die vermeintlich tollen Features sind.