XSS bei der Bundesregierung

So macht es auch keinen Spaß, ein ehrlicher Hacker zu sein: Vor mehr als einem Monat informierte Nils Juenemann die Betreiber der Seite Bundesregierung.de über eine Cross-Site-Scripting-Problematik. Bisher ohne Antwort.

Dafür gibt es als Proof of concept jetzt eine lustige Katze wenn man hier klickt: Böser cross-site-scripting-Link. Wer weniger (oder mehr) Humor hat, baut daraus zum Beispiel irgendeine Phishing-Seite.

 

 

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

18 Ergänzungen

  1. [Erweiterung des Posts.]

    Oder man hat NoScript! installiert und erhält einen Hinweis, dass da gerade ein potentielle XSS-Lücke gestopft wurde…

    ;-)
    Drizzt

    1. Naja, so soll das ja auch sein, oder? Wenn man eine Sicherheitslücke sehen möchte, muss man eben die Sicherheitsmechanismen des Browsers deaktivieren ;)

  2. Vor mehr als einem Monat?
    Laut Blog und dortigem Screenshot wars es am 11. Juli. Also war es vor 9 Tagen.

    Ohne jetzt den Pfusch und die Verantwortlichen in Schutz nehmen zu wollen, aber wenn es darum geht eine Sicherheitslücke auf einem Webangebot schnell schließen zu lassen, dann wendet man sich an die auf der Website angegebenen Leute, die technisch zuständig sind.
    Wenn man sich an eine typische Pressestelle wendet, dann bedeutet dies bei einer stark hierarchisch ausgerichteten Behörde eher ein großer Zeitverlust, nur dafür, daß der Fall nach dem Motto stille Post mal zufällig bei dem richtrigen landet …

    Wobei ich es schon etwas seltsam finde, wieso die Website extern betrieben wird und nicht von den vorhanden staatlichen Einrichtungen.

  3. Google Chrome sagt:
    „Refused to execute a JavaScript script. Source code of script found within request.:“

  4. NoScript bietet unter anderem an: „bundesregierung.de als nicht vertrauenswürdig einstufen“
    Das sagt doch eigentlich alles, oder?!
    :D

  5. Spitzenreiter der Langsamkeit sind wohl die von der NATO und der EU. Fast zwei Monate keine Reaktion: http://www.einfach-fuchs.de/2011/nato-und-europa-eu-haben-offene-xss-sicherheitslucken-seit-1-juni-2011/

    PoC:
    europa-union.de -> http://bit.ly/q7pRgb

    europarl.europa.eu -> http://bit.ly/qDCSSt

    europarl.de -> http://bit.ly/p3s732

    nato-pa.int -> http://bit.ly/r6PMaQ

    Bald holt Mario die Nyan Cat ein. ;) Vielleicht sollten wir eine XSS Slideshow machen. Also eine Linkkette mit der man von XSS zu XSS springen kann. :D

      1. In sozialen Netzwerken ist ja noch viel schlimmer, weil man dort mit einer einfachen XSS gleich in den Account kann. Dort kann man die Links auch besser verbreiten. Bis auf Facebook ist aber nichts interessantes dabei. Die Facebooklücke kann ich auch nachvollziehen. Im Prinzip ein missglücktes Redirect ohne Prüfung.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.