Heise.de: Kritische XSS-Lücke gefunden & behoben

Der Sicherheitsexperte Heiko Frenzel macht über seine Webseite 'Sicherheit-Online' auf eine gefundene XSS-Schwachstelle (Cross Site Scripting) bei Heise.de aufmerksam. Die Lücke wurde innerhalb von kurzer Zeit geschlossen. mehr... Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Top, aber auch erschreckend, dass viele erst nach Wochen erstmal Antworten ... Sollte einem die Sicherheit der Kunden nicht irgendwie am Herzen liegen? So ne Lücke zu fixen kostet weniger Aufwand als dann einen Hack oder so rückgängig zu machen oder mit den Folgen zu leben wenn die Daten der User abhanden gekommen sind ... Ach ich weiß schon ... es kostet Geld und das will ja niemand für so nen "Firlefanz" ausgeben - Totschweigen ist billiger.
 
@cronoxiii: Wenn den Betreibern die Sicherheit am Herzen liegen würde, würden die sich Gedanken machen und Geld investieren. Nur leider wollen die das Geld für ihre Taschen. Solche Lücken sind vermeidbar. Ich habe in meinem Code einfach immer einen Satz Funktionen gehabt (also noch mit PHP gearbeitet habe), der Parameter automatisch filtert. Dann musste ich z .B. für eine Zahl nur noch $x=macheInt($parameter) aufrufen und zurück bekam ich nur noch Ziffern. So schwer kann's also irgendwo auch nicht sein. So kann man eine ID (in dem Fall für war es für ein zu bearbeitendes Objekt) immer schön mitgeben und hat jemand an der ID rumgespielt, passierte nix. War es nicht eine ID, auf die der User irgendwelche Rechte hatte, gab es eben die Meldung: "Keine Zugriffesrechte vorhanden.". Und dank Parameterfilterung gibt es auch keine SQL injection...
 
@MrChaos: "Und dank Parameterfilterung gibt es auch keine SQL injection..." ?!? Wie wäre es mit Prepared Statements gewesen? Deine IDs waren also int oder long? Hast du schon was von "direct object reference attack" gehört? Zum Thema: sehr löblich, ich hoffe Winfuture würde ebenso schnell reagieren.
 
@tommy_gun: Prepared Statements sind eine gute Sache. "direct object reference attack" => Wäre in meinem Fall nicht möglich, ist aber auch eine Gefahr, die nur dann auftreten kann, wenn der Nutzer überhaupt Zugriff hat auf Dinge, die er gar nicht anfassen dürfte, z.B. Dateien, die Datenbank selbst, etc.
 
@MrChaos: Nutze auch PHP, haste denn irgendwo weitere Infos/Tutorials zu diesem Thema? Bisher habe ich halt die Nutzereingaben oder alles was von aussen kommen kann auch per Funktion oder htmlentities() umgewandelt, so dass man keinen Code einschleusen kann. Oder meintest du das?
 
@cronoxiii: Es gibt zwar Literatur zum Thema Sicherheit etc., aber das Problem ist, dass vieles schnell veraltet ist, oder eben neue Lücken genutzt werden. Ein Tut habe ich jetzt nicht zur Hand. Es waren selbst geschriebene Funktionen. Einige in PHP geschriebene Funktionen sind auch nicht schlecht, aber ich hatte oft noch weitere Dinge zu berücksichtigen in der Spezifikation, die leider nicht immer direkt angeboten wurden. Selbst geschriebene Funktionen sind auch leichter zu kontrollieren...
 
@cronoxiii[o1]: Es hat schon manchmal echte Gründe warum auf Hinweise nicht allzu zeitnah geantwortet wird. Wenn es sich z.B. nicht um eine akute Schwachstelle handelt, sondern sie eher theoretischer Natur ist, setzt man sie weiter nach unten. Im Gegensatz zu den Heise.de-Entwicklern haben andere Entwickler auch mehr zu tun. Scheint zumindest so. Wenn ich als Entwickler z.B. jetzt gerade an einem Projekt arbeite und so eine Meldung mit "hätte, wenn, wäre, könnte" erhalte, dann lasse ich sicherlich nicht gleich alles stehen und liegen und setz mich sofort daran. Es hat nicht immer gleich alles mit Geld zu tun, sondern auch mit Prioritäten- und Ressourcenplanung.
 
@DennisMoore: Joa, aber das alles ist doch kein Grund keine Mail wie "Danke für den Hinweis, wir werden uns bald drum kümmern" zu schicken. Einfach nicht antworten ist halt ... naja, etwas unhöflich. Vor allem wenn sich jemand Arbeit gemacht hat und dann noch so nett ist das Ergebnis zu teilen.
 
@cronoxiii: Sowas kommt sicherlich meistens. Allerdings als Autoantwort und nicht persönlich geschrieben. Daher zählt es für viele auch nicht und wird somit nicht als echte Antwort gewertet. Ist es ja auch irgendwie nicht.
 
Naja, nicht weiter verwunderlich das es so schnell ging, immerhin berichtet Heise selbst oft über ungeschlossene Lücken anderer Webseiten / Server, die sie auch zum Teil selbst gefunden haben. Da wäre es schon mehr als peinlich sich selbst viel Zeit zu lassen...
 
@DeepBlue: stimmt :)
 
Interessante Beschreibung des Sicherheitsexperten, auch wenn Details zum Fehler naturgemäß lückenhaft sind. Nur seine Rechtschreibung/Grammatik ist grauenhaft. Ein Firmeninhaber sollte doch wissen, dass man sich so nicht präsentieren kann. Hier in den Kommentarten und in vielen Foren sieht man oft unglaublich schlechte Rechtschreibung, aber das ist ein anderes Umfeld und dank Nicknames fällts nicht auf die reale Person zurück, aber für einen Experten, der mit seinem Namen für sein Geschreibsel einsteht, ist das doch ziemlich peinlich. Ich weiß nicht, ob die allgemeine Schulbildung immer schlechter wird oder ob die Menschen immer unhöflicher und nachlässiger werden, aber ein Verfall an Sprachkultur und der Fähigkeit zur nuancierten Kommunikation ist deutlich auszumachen. Und nun dürfen alle, sie sich nun angegriffen fühlen, mich mit Minus "abstrafen", statt das Thema sachlich zu diskutieren. Auch das ist schließlich ein weiteres Zeichen für nachlassende Kommnuikationsfähigkeit, dass nur noch "disliked" wird, statt in Austausch zu treten. Nie war es so einfach wie mit Bewertungsfunktionen, mißliebige und unbequeme Meinungen völlig ohne sachliche Einwendungen oder gar Begründungen zu verdrängen. Freundliche Grüße und einen schönen 1. Mai Euch allen.
 
@Drachen: Check mal deinen Text. *hust*
 
@Drachen: Ich gebe dem Troll eine Chance... http://www.sicherheit-online.org/aktuelle-themen/xss-schwachstelle-bei-heise-online-beseitigt.html#comment318
 
Nanu, nur 8 Minuse bisher, ich hatte mehr erwartet. Und nur zwei Antworten, was aber durchaus im erwarteten Rahmen liegt. Der eine hustet nur herum, ohne konkret zu werden (ich habe eben nur einen überzähligen Buchstaben und einen Buchstabendreher entdeckt) und der andere schwingt gleich mal die Troll-Keule, verweist auf die Baumschule und suhlt sich in Häme. Ich danke vor allem dem selbst erklärten Baumschulenbesucher für die unerwartet deutlich Bestätigung des befürchtenen Verfalls an Kommunikationsfähigkeit. Wer Kritik abwerten muss, indem er den Kritiker mit Hohn übergießt, setzt sich aber leider nur selber herab. Insofern kann man Ihnen wohl auch weiterhin nur erfolgreiches Blamieren wünschen.
 
@Drachen: http://edge.ebaumsworld.com/mediaFiles/picture/98885/80646663.png
 
@LaberLu: Danke auch Dir für die Bestätigung des Intelligenznotstandes in Teilen der Bevölkerung. Wer keine Argumente hat, holt die Nazi-Keule raus.
 
Ich kann mich noch daran erinnern als winfuture gehackt wurde.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen