XSS-Lücke auf mehreren Verlags bzw. Boulevardzeitungs-Webseiten & Radiosendern entdeckt

Veröffentlicht: 18. Juli 2014 in IT-Security, Netzwerke
Schlagwörter:, , ,

„◾When you sense that something is wrong, instead of letting everybody know about it, first figure out what it is.“ – someone

 

[Update 23.07.2014]
Einige der betroffenen Seiten wurden nun gefixt und das Problem behoben. Darunter die folgenden Webseiten:

Berliner-Zeitung

Hamburger Morgenpost

Berliner Kurier

Express

Kölnische Rundschau

Mitteldeutsche Zeitung

Kölner Stadtanzeiger

Jedoch aktuell weiterhin betroffen sind ca. 7 Radiosender und eine Hand voll anderer Seiten aus dem Verlags-/ Zeitungsbereich.

Hier ein Beispiel für das XSS und einen Fakebeitrag auf der Mopo, der dadurch Clientseitig angezeigt wurde.

Mopo-XSS


 

XSS-AttackEin ungeplanter und eher kurzentschlossener Test von einer relativ gut bekannten Webseite (Boulevardzeitung) zeigte mir auf, dass es dort ein Problem mit einer XSS-Lücke gibt. Die Redaktion der Tageszeitung reagierte nach meiner Kontaktaufnahme via Twitter zügig und verständigte den externen Entwickler, der momentan mit der Fehlerbehebung beschäftigt ist.

Clientseitig kann quasi nahezu beliebiger Code eingeschleust werden, wenn eine solche Lücke vorliegt.

Wie ich aus den Referenzen des Unternehmes entnehmen konnte, sind noch weitere namenhafte Unternehmen von der Lücke betroffen.

XSS
Um welche es sich dabei handelt (momentan habe ich eine Liste von 9,10, 16 betroffenen Webseiten) werde ich hier erst nach einem entsprechenden Fix seitens der Entwickler veröffentlichen!

Was mit einer XSS-Lücke alles angestellt werden kann und dass es eben kein „kleines Problemchen“ ist, zeigte bereits mein Feldversuch mit eBay, bei dem es möglich war mehrere Besucher der seit zu loggen und im schlechtesten Fall die Rechner via BeEF zu übernehmen!

 

Advertisements

Eigenen Senf dazu geben

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s