Erneut Sicherheitslücke bei ClickandBuy

Die neue Schwachstelle lauerte auf der Hilfe-Seite für Kunden. Schon einmal hatte der Online-Bezahldienstleister ClickandBuy mit einer XSS-Lücke zu kämpfen.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 1 Min.

Die Website des Online-Bezahldienstleisters ClickandBuy enthielt eine Sicherheitslücke. Über die Hilfe-Seite für Kunden konnte über die Suchmaske ein speziell präparierter Suchstring eingegeben werden, der JavaScript-Code in die Seite einschleust. Da die Hilfe-Seite auf der selben Domain liegt wie die Login-Seite für Kunden, konnte die Cross-Site-Scripting-Lücke (XSS) den Login- und Kundendaten gefährlich werden. Durch die Schwachstelle hätten zum Beispiel Session-Cookies geklaut werden können.

Die XSS-Lücke wird über das Suchfeld ausgenutzt.

Nachdem Sebastian Schreiber, Geschäftsführer der SySS GmbH und Live-Hacker am Heise-Stand auf der CeBIT, heise Security auf das Problem aufmerksam gemacht hatte, haben wir ClickandBuy über die Lücke informiert. Die Lücke wurde mittlerweile geschlossen. So werden die Suchergebnisse nun durch einen XSS-Filter bereinigt, bevor das Suchwort für die Anzeige verwendet wird.

Es ist nicht das erste Mal, dass die Webseite von ClickandBuy für XSS-Attacken anfällig ist. Schon im Sommer 2012 hatte ein Leser eine XXS-Lücke entdeckt und diese an ClickandBuy gemeldet. Besonders problematisch ist, dass es sich bei ClickandBuy um eine Website für Finanztransaktionen handelt. Die XSS-Lücken auf den https-gesicherten Webseiten sind somit keinesfalls als Kavaliersdelikt zu sehen. Wie ein Angreifer so eine Lücke ausnützen würde, demonstriert der Artikel Passwortklau für Dummies. (kbe)