So macht es auch keinen Spaß, ein ehrlicher Hacker zu sein: Vor mehr als einem Monat informierte Nils Juenemann die Betreiber der Seite Bundesregierung.de über eine Cross-Site-Scripting-Problematik. Bisher ohne Antwort.
Dafür gibt es als Proof of concept jetzt eine lustige Katze wenn man hier klickt: Böser cross-site-scripting-Link. Wer weniger (oder mehr) Humor hat, baut daraus zum Beispiel irgendeine Phishing-Seite.
13 Kommentare
Lass mich raten: Der Proof of concept ist gerade überlastet?
[Erweiterung des Posts.]
Oder man hat NoScript! installiert und erhält einen Hinweis, dass da gerade ein potentielle XSS-Lücke gestopft wurde…
;-)
Drizzt
Der CSU-Innenexperte Stephan Mayer warnt „Miezekatzen sind keine Kuscheltiere!“
http://www.golem.de/1107/85071.html
Im IE9 wird des sofort geblockt. Mit Firefox und NoScript ebenfalls.
Naja, so soll das ja auch sein, oder? Wenn man eine Sicherheitslücke sehen möchte, muss man eben die Sicherheitsmechanismen des Browsers deaktivieren ;)
Vor mehr als einem Monat?
Laut Blog und dortigem Screenshot wars es am 11. Juli. Also war es vor 9 Tagen.
Ohne jetzt den Pfusch und die Verantwortlichen in Schutz nehmen zu wollen, aber wenn es darum geht eine Sicherheitslücke auf einem Webangebot schnell schließen zu lassen, dann wendet man sich an die auf der Website angegebenen Leute, die technisch zuständig sind.
Wenn man sich an eine typische Pressestelle wendet, dann bedeutet dies bei einer stark hierarchisch ausgerichteten Behörde eher ein großer Zeitverlust, nur dafür, daß der Fall nach dem Motto stille Post mal zufällig bei dem richtrigen landet …
Wobei ich es schon etwas seltsam finde, wieso die Website extern betrieben wird und nicht von den vorhanden staatlichen Einrichtungen.
Google Chrome sagt:
“Refused to execute a JavaScript script. Source code of script found within request.:”
NoScript bietet unter anderem an: “bundesregierung.de als nicht vertrauenswürdig einstufen”
Das sagt doch eigentlich alles, oder?!
:D
Also bei mir tuts :) mit Firefox aufm Mac. Inclusive diverser AdBLock-Abos.
Ich glaube die Bundesregierung wurde von einem neuartigen Katzenwurm befallen. Es tauchen immer mehr Seiten auf, die ebenfalls mit einer Nyan Cat infiziert sind: http://bit.ly/nj7j4o
Spitzenreiter der Langsamkeit sind wohl die von der NATO und der EU. Fast zwei Monate keine Reaktion: http://www.einfach-fuchs.de/2011/nato-und-europa-eu-haben-offene-xss-sicherheitslucken-seit-1-juni-2011/
PoC:
europa-union.de -> http://bit.ly/q7pRgb
europarl.europa.eu -> http://bit.ly/qDCSSt
europarl.de -> http://bit.ly/p3s732
nato-pa.int -> http://bit.ly/r6PMaQ
Bald holt Mario die Nyan Cat ein. ;) Vielleicht sollten wir eine XSS Slideshow machen. Also eine Linkkette mit der man von XSS zu XSS springen kann. :D
Nicht nur bei Nato und Co.
Auf http://www.socialnetworksecurity.org/betroffene-seiten.php sind ebenfalls Seiten aufgelistet, deren XSS Schwachstellen noch nicht beseitigt wurden.
In sozialen Netzwerken ist ja noch viel schlimmer, weil man dort mit einer einfachen XSS gleich in den Account kann. Dort kann man die Links auch besser verbreiten. Bis auf Facebook ist aber nichts interessantes dabei. Die Facebooklücke kann ich auch nachvollziehen. Im Prinzip ein missglücktes Redirect ohne Prüfung.
5 Trackbacks
[...] des Tages: Die Website der Bundesregierung gibt es jetzt auch mit Katzen-Content. Warum auch sollte binnen eines Monats nach Meldung einer XSS-Lücke etwas getan werden, um die [...]
[...] kommt das ganze wohl an eine etwas breitere Öffentlichkeit, denn auch Netzpolitik.org berichtet über die Cross-Site-Scripting-Lücke bei REGIERUNGonline. Dieser Beitrag wurde unter Internet, [...]
[MARKED AS SPAM BY ANTISPAM BEE | Server IP]
[...] dass Ehrlichkeit nicht immer belohnt wird, weißt Linus Neumann in einem aktuellen Post auf Netzpolitik.org hin. Darin berichtet Neumann von dem System-Architekten Nils Juenemann, der so nett war und das [...]
[...] Artikel wurde auf Netzpolitik unter der Creative Commons BY-NC-SA Lizenz [...]
[...] XSS bei bundesregierung.de Bitte einen HTML5 Browser verwenden [...]