So macht es auch keinen Spaß, ein ehrlicher Hacker zu sein: Vor mehr als einem Monat informierte Nils Juenemann die Betreiber der Seite Bundesregierung.de über eine Cross-Site-Scripting-Problematik. Bisher ohne Antwort.
Dafür gibt es als Proof of concept jetzt eine lustige Katze wenn man hier klickt: Böser cross-site-scripting-Link. Wer weniger (oder mehr) Humor hat, baut daraus zum Beispiel irgendeine Phishing-Seite.
Lass mich raten: Der Proof of concept ist gerade überlastet?
[Erweiterung des Posts.]
Oder man hat NoScript! installiert und erhält einen Hinweis, dass da gerade ein potentielle XSS-Lücke gestopft wurde…
;-)
Drizzt
Der CSU-Innenexperte Stephan Mayer warnt „Miezekatzen sind keine Kuscheltiere!“
http://www.golem.de/1107/85071.html
Im IE9 wird des sofort geblockt. Mit Firefox und NoScript ebenfalls.
Naja, so soll das ja auch sein, oder? Wenn man eine Sicherheitslücke sehen möchte, muss man eben die Sicherheitsmechanismen des Browsers deaktivieren ;)
Vor mehr als einem Monat?
Laut Blog und dortigem Screenshot wars es am 11. Juli. Also war es vor 9 Tagen.
Ohne jetzt den Pfusch und die Verantwortlichen in Schutz nehmen zu wollen, aber wenn es darum geht eine Sicherheitslücke auf einem Webangebot schnell schließen zu lassen, dann wendet man sich an die auf der Website angegebenen Leute, die technisch zuständig sind.
Wenn man sich an eine typische Pressestelle wendet, dann bedeutet dies bei einer stark hierarchisch ausgerichteten Behörde eher ein großer Zeitverlust, nur dafür, daß der Fall nach dem Motto stille Post mal zufällig bei dem richtrigen landet …
Wobei ich es schon etwas seltsam finde, wieso die Website extern betrieben wird und nicht von den vorhanden staatlichen Einrichtungen.
Google Chrome sagt:
„Refused to execute a JavaScript script. Source code of script found within request.:“
NoScript bietet unter anderem an: „bundesregierung.de als nicht vertrauenswürdig einstufen“
Das sagt doch eigentlich alles, oder?!
:D
Also bei mir tuts :) mit Firefox aufm Mac. Inclusive diverser AdBLock-Abos.
Ich glaube die Bundesregierung wurde von einem neuartigen Katzenwurm befallen. Es tauchen immer mehr Seiten auf, die ebenfalls mit einer Nyan Cat infiziert sind: http://bit.ly/nj7j4o
Spitzenreiter der Langsamkeit sind wohl die von der NATO und der EU. Fast zwei Monate keine Reaktion: http://www.einfach-fuchs.de/2011/nato-und-europa-eu-haben-offene-xss-sicherheitslucken-seit-1-juni-2011/
PoC:
europa-union.de -> http://bit.ly/q7pRgb
europarl.europa.eu -> http://bit.ly/qDCSSt
europarl.de -> http://bit.ly/p3s732
nato-pa.int -> http://bit.ly/r6PMaQ
Bald holt Mario die Nyan Cat ein. ;) Vielleicht sollten wir eine XSS Slideshow machen. Also eine Linkkette mit der man von XSS zu XSS springen kann. :D
Nicht nur bei Nato und Co.
Auf http://www.socialnetworksecurity.org/betroffene-seiten.php sind ebenfalls Seiten aufgelistet, deren XSS Schwachstellen noch nicht beseitigt wurden.
In sozialen Netzwerken ist ja noch viel schlimmer, weil man dort mit einer einfachen XSS gleich in den Account kann. Dort kann man die Links auch besser verbreiten. Bis auf Facebook ist aber nichts interessantes dabei. Die Facebooklücke kann ich auch nachvollziehen. Im Prinzip ein missglücktes Redirect ohne Prüfung.