Dieser unsichtbare Bug kann deine Website übernehmen

In meiner Blogger-Bubble vielleicht noch kein großes Thema, unter Techies jedoch längst ein Begriff. Denn wenn auf der eigenen Seite plötzlich ein Bug-Bounty-Hinweis auftaucht, bedeutet es, dass deine verwendete Plattform oder Software eine Sicherheitslücke aufweist. Welche Gefahr dahintersteckt und wie man sich schützt - erkläre ich dir heute und hier.

Was ist (Open) Bug Bounty?

Als Erstes werden wir uns mit der Frage beschäftigen, was denn überhaupt dieses OpenBugBounty.org ist und was es (hoffentlich nie) mit deiner Website zu tun haben wird. 

OpenBugBounty ist eine nicht kommerzielle, offene Plattform für unabhängige Sicherheitsforscher zur verantwortungsbewussten Offenlegung von Sicherheitslücken, wie Cross-Site-Scripting (sogenannten XSS) und ähnlichen Schwachstellen, die von den Experten auf Websites mithilfe nicht eindringender Sicherheitstesttechniken entdeckt wurden. / Quelle: Wikipedia 

Vereinfacht gesagt handelt es sich um eine Plattform für Sicherheitsforscher - möglicherweise auch White Hats - die Websites gezielt nach Schwachstellen durchsuchen und deren Eigentümer auf Sicherheitslücken in ihren Systemen hinweisen möchten. Oft verbunden findet man Bug Bounty im Zusammenhang mit großen Firmen, die auf solch einer Plattform eine Belohnung ("Bounty") ausschreiben, um Schwachstellen in ihren Systemen zu melden. 

Was sind XSS (Cross-Site Scripting) für Sicherheitslücken?

Eine sogenannte XSS-Sicherheitslücke (Cross-Site Scripting) ermöglicht es einem Angreifer, fremden (schädlichen) Code direkt durch das Frontend in deiner Website einzuschleusen. Das passiert häufig, wenn Erweiterungen (wie Plugins oder Add-ons) deines CMS (Content-Management-Systems) sicherheitsmäßig nicht aktuell sind

Das kann am technischen Fortschritt liegen, dagegen helfen nur regelmäßige Updates, oder daran, dass die Lücke bereits durch ein fehlerhaftes Konzept in der Erweiterung vorhanden war.

Wie kann ich mir eine solche Lücke vorstellen?

Auf deinem Blog oder deiner Website gibt es oft Erweiterungen wie Kommentarsektionen, Gästebücher oder SEO-Tools. Viele dieser Systeme haben eine Gemeinsamkeit: Sie speichern Eingaben und Interaktionen von Nutzern.

Wenn dieser Nutzer jedoch gezielt nach Schwachstellen sucht, kann er genau solche Systeme ins Visier nehmen. Es gibt Methoden, um gezielt nach Websites mit bestimmten Sicherheitslücken zu suchen.

Der Angreifer nutzt dann die "Vordertür" (z. B. durch Kommentare oder das Gästebuch), um sich Zugriff zu verschaffen. Statt eines harmlosen Textes wird schädlicher Code eingeschleust, der von der Erweiterung nicht erkannt oder gefiltert wird.

Dieser Code wird gespeichert und bei jedem Seitenaufruf automatisch ausgeführt. Das bedeutet: Jeder Besucher deiner Website lädt unbewusst auch den Code des Angreifers mit.

Praxisbeispiele

Merkt man, dass man von einer Sicherheitslücke betroffen ist?

In der Welt von Techies gibt es neben böswilligen Schattengestalten, auch gute Exemplare, die sogenannten White Hats. 

Das unterscheidet sich in der Form, wie man eine solche Sicherheitslücke bemerkt. Während wohlgesinnte Nutzer diese Schwachstelle in deinem System entweder direkt melden, indem Du eine E-Mail erhältst, oder aber sich bemerkbar machen, indem Du unweigerlich darauf stößt, beispielsweise eben mit veränderten Seiteninhalten (wie Hinweisfenster, Popups etc.). 

Ein böswilliger Nutzer hingegen, versucht, eine Lücke in deinem System so lange wie möglich unentdeckt zu lassen. Diese zu finden ist mitunter nicht so leicht. Denn der Schadcode könnte in einem harmlosen Kommentar bereits verarbeitet, jedoch inaktiv sein, bis der Angreifer es als günstig einschätzt (vielleicht nach Tagen) von seiner Seite aus den Payload zu aktivieren. 

Was sind denn die Gefahren, die von XSS-Lücken ausgehen?

Je nach Einsatzzweck bzw. Funktionsweise deiner Website gibt es unterschiedliche Praktiken, die von einer
XSS-Lücke ausgehen oder gar manipuliert werden könnten. 

Hier habe ich einmal ein paar Beispiele zusammengestellt:

• Nachbilden von Login-Seiten 
• Session-Cookies stehlen
  • Aktionen im Namen des Users ausführen
• Unsichtbare Weiterleitungen einrichten
• Inhalte manipulieren
  • Texte abändern, Preise verändern, Buttons umlenken
• Formulare mitlesen

Wie hat es dich / ApfailKuchen.de betroffen?

Ehrlich gesagt hat es mich zunächst aus der Bahn geworfen. Schließlich dachte man bis dato, dass das eigene System soweit ganz gut abgeschirmt ist. Ich hatte für das Wochenende einen Beitrag geplant und auch schon angefangen zu schreiben, als ich dann diesen OPENBUGBOUNTY-Hinweis in meinem Backend fand.

Ich konnte die Lücke innerhalb von fünf Stunden identifizieren, und sowohl im Front- als auch im Backend stopfen. Durch diese Ereignisse habe ich dann noch einmal das Sicherheitsniveau meines Blogs erhöht. 

Wie kann man sich vor XSS schützen?

XSS-Schwachstellen als Laie zu finden, ist für Laien kaum realistisch. Hierfür ist Wissen aus einem Teilabschnitt der Informationstechnologie für Ethical Hacking notwendig. Selbst große Firmen schreiben genau aus diesem Grund Belohnungen aus, um ihre eigenen Systeme auf mögliche Schwachstellen zu testen.

Es gibt jedoch ein paar technische Vorbereitungen, die selbst Laien treffen können, um ihre eingesetzten Systeme zu härten, um es somit potenziellen Angreifern schwerer zu machen:

• Backups u. einen Plan

  Plane Backups deiner produktiven Seite 1-2x wöchentlich anzulegen, zuzüglich zu jeder Veröffentlichung oder einem veränderten Inhalt.

• Nutze eine CSP

  Durch die Nutzung einer CSP ("Content Security Policy") in deiner .htaccess kannst Du Ladevorgänge fremdartiger (externer) Objekte serverseitig unterbinden, sodass wenn es Nachladungen gibt, diese als Quelle nur auf deine Domain beschränkt. 

• Schütze dein (Admin)-Backend

  • Verwende eine zusätzliche .htaccess im Backend-Ordner und verlasse dich nicht nur auf deine Passwortstärke
  • Verwende nur sichere Passwörter, nach Möglichkeit gerne mit MFA
  • Schränke Sitzungsdauer aktiv ein, vermeide nach Möglichkeit dauerhafte Sitzungscookies
    
    • Logge dich nach deiner Admin-Sitzung aus
  • Wer mit besonderer Vorsicht unterwegs sein möchte, macht es wie unter Windows und verwendet ein Profil zum Arbeiten ohne Admin-Zugang

• Verwende Tools zur Erkennung von Pentest-Bot

  • Meist reicht hierbei schon eine interne Firewall, die typische Muster erkennt oder bekannte IP-Adressen ausfiltert
  • Wer besonders viel Wert auf eine Vorschaltung legt, für den könnte das Thema Cloudflare interessant werden 

• Code Escaping

  • Escaping ist die Umwandlung von Sonderzeichen in eine sichere Darstellung, sodass sie nicht als Code interpretiert, sondern als reiner Text behandelt werden. Es ist der Schlüssel, um die meisten solcher Angriffe direkt an der Wurzel zu unterbinden.

• Input Validation (Validierung von Eingaben)

  Prüfe bereits beim Absenden, welche Eingaben überhaupt erlaubt sind. Statt alles zu akzeptieren, sollte dein System nur das durchlassen, was auch wirklich benötigt wird (z. B. nur Text, keine HTML-Tags oder Skripte).

  So wird schädlicher Code bereits im Ansatz abgefangen, bevor er überhaupt gespeichert werden kann.

• Output Encoding je Kontext (HTML, JS, URL)

  Nicht jede Ausgabe ist gleich: Inhalte müssen je nach Einsatzort unterschiedlich behandelt werden.
  Was in HTML sicher ist, kann in JavaScript oder einer URL bereits gefährlich sein.

Mein Schlusswort zu diesem Thema

So beunruhigend es auch sein kann, mit dem Gedanken zu leben, dass möglicherweise eine unentdeckte XSS-Schwachstelle im eigenen System, hinter irgendeiner der 10 Erweiterungen stecken könnte, ist vor allem eines entscheidend: Ruhe bewahren. Eine Lücke kann existieren, oder eben nicht. Man sollte diesen Gedanken also nicht die Oberhand gewinnen lassen. 

Gut beraten ist man auf jeden Fall bei Berücksichtigung der oben erwähnten Tipps, - und wenn Du selbst noch einen guten Kniff kennst, schreib ihn gerne in die Kommentare -  sollte eines Tages doch einmal passieren, dass sich eine solche XSS im System bemerkbar macht: keine Panik. 

Versuche herauszufinden, seit wann dieses Verhalten auf deiner Website auftritt und untersuche deine Plugins auf Altersschwäche. Solltest Du nicht aus eigener Kraft den Störenfried finden, kannst Du dich guten Gewissens sicherlich an die Community deiner Software / Plattform wenden, welche dir gerne zur Seite stehen (besonders gerne, wenn Du Backups hast ;) 

Möchtest Du mehr Themen dieser Art? Lass es mich gerne in den Kommentaren wissen.

Quellen: Eigene Erfahrung, Programmieren lernen mit JavaScript 2025, Hacking & Security, Developer Mozilla.org, Wikipedia (Definition Open Bug Bounty) 
Mein Wissen stammt teilweise aus oben genannten Literatur, welche ich hier mit Affiliate-Links bereitgestellt habe