Kultur

XSS bei der Bundesregierung

So macht es auch keinen Spaß, ein ehrlicher Hacker zu sein: Vor mehr als einem Monat informierte Nils Juenemann die Betreiber der Seite Bundesregierung.de über eine Cross-Site-Scripting-Problematik. Bisher ohne Antwort.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Dafür gibt es als Proof of concept jetzt eine lustige Katze wenn man hier klickt: Böser cross-site-scripting-Link. Wer weniger (oder mehr) Humor hat, baut daraus zum Beispiel irgendeine Phishing-Seite.

 

 

Weitersagen und Unterstützen. Danke!
18 Kommentare
  1. Vor mehr als einem Monat?
    Laut Blog und dortigem Screenshot wars es am 11. Juli. Also war es vor 9 Tagen.

    Ohne jetzt den Pfusch und die Verantwortlichen in Schutz nehmen zu wollen, aber wenn es darum geht eine Sicherheitslücke auf einem Webangebot schnell schließen zu lassen, dann wendet man sich an die auf der Website angegebenen Leute, die technisch zuständig sind.
    Wenn man sich an eine typische Pressestelle wendet, dann bedeutet dies bei einer stark hierarchisch ausgerichteten Behörde eher ein großer Zeitverlust, nur dafür, daß der Fall nach dem Motto stille Post mal zufällig bei dem richtrigen landet …

    Wobei ich es schon etwas seltsam finde, wieso die Website extern betrieben wird und nicht von den vorhanden staatlichen Einrichtungen.

  2. Spitzenreiter der Langsamkeit sind wohl die von der NATO und der EU. Fast zwei Monate keine Reaktion: http://www.einfach-fuchs.de/2011/nato-und-europa-eu-haben-offene-xss-sicherheitslucken-seit-1-juni-2011/

    PoC:
    europa-union.de -> http://bit.ly/q7pRgb

    europarl.europa.eu -> http://bit.ly/qDCSSt

    europarl.de -> http://bit.ly/p3s732

    nato-pa.int -> http://bit.ly/r6PMaQ

    Bald holt Mario die Nyan Cat ein. ;) Vielleicht sollten wir eine XSS Slideshow machen. Also eine Linkkette mit der man von XSS zu XSS springen kann. :D

      1. In sozialen Netzwerken ist ja noch viel schlimmer, weil man dort mit einer einfachen XSS gleich in den Account kann. Dort kann man die Links auch besser verbreiten. Bis auf Facebook ist aber nichts interessantes dabei. Die Facebooklücke kann ich auch nachvollziehen. Im Prinzip ein missglücktes Redirect ohne Prüfung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.