Heise.de: Kritische XSS-Lücke gefunden & behoben

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr
Der Sicherheitsexperte Heiko Frenzel macht über seine Webseite 'Sicherheit-Online' auf eine gefundene XSS-Schwachstelle (Cross Site Scripting) bei Heise.de aufmerksam. Die Lücke wurde innerhalb von kurzer Zeit geschlossen. Als Frenzel vor einigen Wochen das Nachrichtenportal besuchte, wurde er auf einige ungefilterte Parameter aufmerksam, die sich möglicherweise zum Einschleusen von Schadcode oder zum Ausspähen der Besucher nutzen lassen.

Im Zuge seiner Analyse stellte sich heraus, dass es im Hinblick auf die Webseite von Heise grundsätzlich möglich gewesen wäre, Benutzerdaten abzufangen oder eine Sicherheitslücke im Browser und den damit verbundenen Plugins, zu denen beispielsweise der Flash-Player von Adobe gehören, auszunutzen. Zu diesem Zweck hätte ein Angreifer entsprechend präparierte Links zu Heise versenden müssen.

Nachdem der Sicherheitsexperte den Sachverhalt genau unter die Lupe genommen hatte, informierte er umgehend die Entwickler über diese Problematik. Üblicherweise ist es Frenzel gewohnt, auf eine Rückmeldung zu solchen Sicherheitswarnungen mehrere Tage oder gar Wochen zu warten. Anders gestaltete sich jedoch der Fall bei Heise. Innerhalb von einer Stunde erreichte ihn die erste Rückmeldung und das Problem wurde zeitnah aus der Welt geschafft.

In der Vergangenheit machte Sicherheit-Online schon häufig auf ähnliche Lücken aufmerksam. Dazu gehören unter anderem XSS-Schwachstellen bei McDonalds, Aral, Web.de und Berlin.de. Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr
Diese Nachricht empfehlen
Kommentieren18
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:10 Uhr Transcend StoreJet M3 Anti-Shock 1TB Externe Festplatte (6,4 cm (2,5 Zoll) 5400 rpm, 8 MB Cache, USB 3.0) /grün
Transcend StoreJet M3 Anti-Shock 1TB Externe Festplatte (6,4 cm (2,5 Zoll) 5400 rpm, 8 MB Cache, USB 3.0) /grün
Original Amazon-Preis
70,80
Im Preisvergleich ab
64,00
Blitzangebot-Preis
61,57
Ersparnis zu Amazon 13% oder 9,23

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden