Archiv nach Kategorien: Security

Fakten zum Thema Web Security

Veröffentlicht von am 30. April 2012 1 Kommentar

Gerade aus gegebenem Anlass, ein kleiner Post zum Thema Web Security. Es gibt immer wieder Menschen die sich als „Profi“ Serveradmins ausgeben und sich oft nicht um die Sicherheitslücken auf ihren Webseiten kümmern, bzw. die eingesetzte Serversoftware nicht aktuell halten. Deswegen hier mal ein paar Fakten zum Thema Web Security

  • XSS (Cross-Site-Scripting) Lücken sind nicht schlimm bzw können niemanden schaden.

Wenn ich so etwas lese, könnte ich mir die Haare büschelweise ausreißen. Eine solche Behauptung ist einfach schlichtweg FALSCH! Eine XSS Lücke sollte man genauso ernst nehmen wie jede andere Sicherheitslücke. Über eine XSS Lücke können schön Cookies geklaut werden und im extremen Fall wenn es eine persistente XSS Lücke ist kann ein Schadcode direkt auf dem Webserver gespeichert werden. Weiterlesen »

XSS dfb.de

Veröffentlicht von am 2. Februar 2012 Keine Kommentare

Hatte mal vor einige Wochen schon auf der dfb.de Webseite eine XSS Lücke gefunden gehabt und leider vergessen diese zu melden. Letzte Woche ist mir dann beim Aufräumen auf dem PC die txt Datei wieder in die Hände gefallen und habe dann die Lücke gemeldet! Leider habe ich auch hier keine Rückmeldung auf meine Mail erhalten, aber hauptsache die Lücke ist geschlossen.

Habe es auch leider verpennt einen Screenshot von der XSS zu machen.

Aber so sollte es immer sein, Lücke wird gemeldet und nach dem melden auch direkt vom Betreiber geschlossen!

XSS boerse.ard.de

Veröffentlicht von am 1. Februar 2012 Keine Kommentare

Kurz und knapp: Hatte eine XSS Lücke bei der boerse.ard.deWebseite gefunden. Habe die Lücke gemeldet und nach knapp einer Woche war diese dann geschlossen!

XSS bei boerse.ard.de

Finde es schade, dass ich keine Antwort auf meine E-Mail erhalten habe, aber was solls, hauptsache die Lücke wurde geschlossen!

Universitäten in Deutschland – Sicherheit ist unwichtig?!?

Veröffentlicht von am 30. Januar 2012 2 Kommentare

Wenn man schon Universität hört, denkt man doch direkt an die ach so klugen Professoren die mit einem Ihr Wissen teilen möchten. Nun gut, warum wird deren Wissen dann nicht verwendet um die zahlreichen Sicherheitslücken auf den jeweiligen Uni-Webseiten zu schließen. Es ist eigentlich richtig faszinierend wie so viele unterschiedliche Universitätswebseiten einfach alle mehrere Sicherheitslücken haben. Von ungepatchten Web/Mailservern bis zu einfachen XSS Lücken und potenziellen SQL-Injections ist einfach alles dabei.

Noch schlimmer ist es finde ich, dass die Mails über die Sicherheitslücken anscheint einfach ignoriert werden oder direkt ohne zu lesen in den Papierkorb wandern. Bis jetzt habe ich schon an 6 verschiedene Universitäten Mails geschrieben weil dort XSS  Lücken und/oder SQL-Injections möglich sind. Aber ich habe noch keine Antwort erhalten noch wurden die Lücken geschlossen. Man bemerke dass die Mails nun schon knapp 6 Wochen her sind.

Habe mittlerweile bei weiteren Uni-Webseiten Lücken gefunden und werde die nun im Laufen der Woche melden, vielleicht gibt es dort Leute die einsichtig sind und Ihre Lücken schließen. Außerdem werde ich noch einen Versuch starten mit den anderen 6 Universitäten Kontakt aufzunehmen damit diese Ihre Lücken auch schließen können.

XSS bei minecraft.net

Veröffentlicht von am 30. Januar 2012 2 Kommentare

Gestern Abend durch einen Zufall eine Cross-Site-Scripting Schwachstelle bei minecraft.net gefunden. Mit der Lücke hätte man Cookies der unwissenden User klauen können und somit hätte einige Accounts den Besitzer wechseln können.
Habe dann heute Morgen den Verantwortlichen für die minecraft.net Webseite via Twitter benachrichtigt und Ihm die Lücke per Mail mitgeteilt. Nach ca. einer Stunde war die Lücke nun geschlossen. Solche Reaktionszeiten wünscht man sich doch wenn man etwas meldet!

XSS bei minecraft.net

Cookies klauen wäre möglich