Dieser Artikel ist mehr als 14 Jahre alt.
So macht es auch keinen Spaß, ein ehrlicher Hacker zu sein: Vor mehr als einem Monat informierte Nils Juenemann die Betreiber der Seite Bundesregierung.de über eine Cross-Site-Scripting-Problematik. Bisher ohne Antwort. Dafür gibt es als Proof of concept jetzt eine lustige Katze wenn man hier klickt: Böser cross-site-scripting-Link. Wer weniger (oder mehr) Humor hat, baut daraus…
So macht es auch keinen Spaß, ein ehrlicher Hacker zu sein: Vor mehr als einem Monat informierte Nils Juenemann die Betreiber der Seite Bundesregierung.de über eine Cross-Site-Scripting-Problematik. Bisher ohne Antwort.
Dafür gibt es als Proof of concept jetzt eine lustige Katze wenn man hier klickt: Böser cross-site-scripting-Link. Wer weniger (oder mehr) Humor hat, baut daraus zum Beispiel irgendeine Phishing-Seite.
Ergänzungen
Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.
18 Kommentare zu „XSS bei der Bundesregierung“
,
Lass mich raten: Der Proof of concept ist gerade überlastet?
,
[Erweiterung des Posts.]
Oder man hat NoScript! installiert und erhält einen Hinweis, dass da gerade ein potentielle XSS-Lücke gestopft wurde…
;-)
Drizzt
,
Der CSU-Innenexperte Stephan Mayer warnt „Miezekatzen sind keine Kuscheltiere!“
http://www.golem.de/1107/85071.html
,
[…] des Tages: Die Website der Bundesregierung gibt es jetzt auch mit Katzen-Content. Warum auch sollte binnen eines Monats nach Meldung einer XSS-Lücke etwas getan werden, um die […]
,
Im IE9 wird des sofort geblockt. Mit Firefox und NoScript ebenfalls.
,
Naja, so soll das ja auch sein, oder? Wenn man eine Sicherheitslücke sehen möchte, muss man eben die Sicherheitsmechanismen des Browsers deaktivieren ;)
,
[…] kommt das ganze wohl an eine etwas breitere Öffentlichkeit, denn auch Netzpolitik.org berichtet über die Cross-Site-Scripting-Lücke bei REGIERUNGonline. Dieser Beitrag wurde unter Internet, […]
,
Vor mehr als einem Monat?
Laut Blog und dortigem Screenshot wars es am 11. Juli. Also war es vor 9 Tagen.
Ohne jetzt den Pfusch und die Verantwortlichen in Schutz nehmen zu wollen, aber wenn es darum geht eine Sicherheitslücke auf einem Webangebot schnell schließen zu lassen, dann wendet man sich an die auf der Website angegebenen Leute, die technisch zuständig sind.
Wenn man sich an eine typische Pressestelle wendet, dann bedeutet dies bei einer stark hierarchisch ausgerichteten Behörde eher ein großer Zeitverlust, nur dafür, daß der Fall nach dem Motto stille Post mal zufällig bei dem richtrigen landet …
Wobei ich es schon etwas seltsam finde, wieso die Website extern betrieben wird und nicht von den vorhanden staatlichen Einrichtungen.
,
Google Chrome sagt:
„Refused to execute a JavaScript script. Source code of script found within request.:“
,
NoScript bietet unter anderem an: „bundesregierung.de als nicht vertrauenswürdig einstufen“
Das sagt doch eigentlich alles, oder?!
:D
,
Also bei mir tuts :) mit Firefox aufm Mac. Inclusive diverser AdBLock-Abos.
,
Ich glaube die Bundesregierung wurde von einem neuartigen Katzenwurm befallen. Es tauchen immer mehr Seiten auf, die ebenfalls mit einer Nyan Cat infiziert sind: http://bit.ly/nj7j4o
,
[MARKED AS SPAM BY ANTISPAM BEE | Server IP]
[…] dass Ehrlichkeit nicht immer belohnt wird, weißt Linus Neumann in einem aktuellen Post auf Netzpolitik.org hin. Darin berichtet Neumann von dem System-Architekten Nils Juenemann, der so nett war und das […]
,
[…] Artikel wurde auf Netzpolitik unter der Creative Commons BY-NC-SA Lizenz […]
,
[…] XSS bei bundesregierung.de Bitte einen HTML5 Browser verwenden […]
,
Spitzenreiter der Langsamkeit sind wohl die von der NATO und der EU. Fast zwei Monate keine Reaktion: http://www.einfach-fuchs.de/2011/nato-und-europa-eu-haben-offene-xss-sicherheitslucken-seit-1-juni-2011/
PoC:
europa-union.de -> http://bit.ly/q7pRgb
europarl.europa.eu -> http://bit.ly/qDCSSt
europarl.de -> http://bit.ly/p3s732
nato-pa.int -> http://bit.ly/r6PMaQ
Bald holt Mario die Nyan Cat ein. ;) Vielleicht sollten wir eine XSS Slideshow machen. Also eine Linkkette mit der man von XSS zu XSS springen kann. :D
,
Nicht nur bei Nato und Co.
Auf http://www.socialnetworksecurity.org/betroffene-seiten.php sind ebenfalls Seiten aufgelistet, deren XSS Schwachstellen noch nicht beseitigt wurden.
,
In sozialen Netzwerken ist ja noch viel schlimmer, weil man dort mit einer einfachen XSS gleich in den Account kann. Dort kann man die Links auch besser verbreiten. Bis auf Facebook ist aber nichts interessantes dabei. Die Facebooklücke kann ich auch nachvollziehen. Im Prinzip ein missglücktes Redirect ohne Prüfung.
Dieser Artikel ist älter als 14 Jahre, daher sind die Ergänzungen geschlossen.