Schufa Webseite: Kritische Schwachstelle entdeckt
Den Schilderungen auf seiner Webseite zufolge stach ihm ein Link, welcher die klassischen Kriterien einer Local File Inclusion Schwachstelle erfüllte, ins Auge. Diesen Sachverhalt wollte Vieira-Kurz dann näher unter die Lupe nehmen aber zugleich nicht mit dem Gesetz in Konflikt geraten.
Durch eine Manipulation des Download-Links könnte man in diesem Fall auf nicht zum Download vorgesehene Dateien zugreifen. Letztlich könnte man sich unter Umständen sogar auf beliebige Dateien, welche auf dem Webserver gespeichert wurden, einen Zugriff verschaffen.
Auf eine Implementierung von Sicherheitsmaßnahmen haben die zuständigen Programmierer der Webseite seinen Angaben zufolge an dieser Stelle verzichtet. In seinen Augen handelt es sich um einen fatalen Fehler, dass man die Downloaddatei anweisen kann, sich selbst als Binary anzubieten.
Einen direkten Link zum Ausnutzen der Schwachstelle wollte David Vieira-Kurz in seinem Beitrag nicht veröffentlichen. Trotzdem gibt er den interessierten Lesern einen Hinweis, wie man die Problematik nachstellen kann. Dazu sei es erforderlich, einen Wikipedia Artikel über File Inclusion Schwachstellen zu lesen und mit der Hilfe von Google die SCHUFA-Webseite nach dem Begriff "Download" zu durchsuchen.
Inzwischen hat man offenbar auf diese Problematik reagiert und die zugehörige Sicherheitslücke geschlossen. Die Download-Links im Formularbereich liefern jedenfalls keine Formulare mehr aus.
Durch eine Manipulation des Download-Links könnte man in diesem Fall auf nicht zum Download vorgesehene Dateien zugreifen. Letztlich könnte man sich unter Umständen sogar auf beliebige Dateien, welche auf dem Webserver gespeichert wurden, einen Zugriff verschaffen.
Auf eine Implementierung von Sicherheitsmaßnahmen haben die zuständigen Programmierer der Webseite seinen Angaben zufolge an dieser Stelle verzichtet. In seinen Augen handelt es sich um einen fatalen Fehler, dass man die Downloaddatei anweisen kann, sich selbst als Binary anzubieten.
Einen direkten Link zum Ausnutzen der Schwachstelle wollte David Vieira-Kurz in seinem Beitrag nicht veröffentlichen. Trotzdem gibt er den interessierten Lesern einen Hinweis, wie man die Problematik nachstellen kann. Dazu sei es erforderlich, einen Wikipedia Artikel über File Inclusion Schwachstellen zu lesen und mit der Hilfe von Google die SCHUFA-Webseite nach dem Begriff "Download" zu durchsuchen.
Inzwischen hat man offenbar auf diese Problematik reagiert und die zugehörige Sicherheitslücke geschlossen. Die Download-Links im Formularbereich liefern jedenfalls keine Formulare mehr aus.
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen