Weitere XSS-Lücke bei ClickandBuy geschlossen

Nachdem heise Security über eine XSS-Lücke beim Zahlungsabwickler berichtete, erreichte uns vor kurzem schon der nächste Hinweis auf eine weitere Lücke.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Lesezeit: 1 Min.

Der Zahlungsabwickler ClickandBuy hat eine weitere Sicherheitslücke geschlossen, durch die man JavaScript in seine Seite einschleusen konnte.

Die von einem Studenten der Ruhr-Universität Bochum gefundene Cross-Site-Scripting-Sicherheitslücke (XSS) war dieses Mal im Kontaktformular des Service-Teams zu finden. Die dort eingegebene Kundennummer wurde von ClickandBuy nicht ausreichend überprüft. Hat der Nutzer hier JavaScript-Code eingegeben, wurde dieser im Kontext der ClickandBuy-Domain ausgeführt. Alle übrigen Felder der Eingabemaske mussten nicht ausgefüllt werden. Getestet wurde mit einem Firefox Browser Version 21.

Die XSS-Lücke lauerte dieses Mal im Kontaktformular.

(Bild: Ruhr-Universität Bochum )

Wie auch schon bei der jüngst von uns an ClickandBuy gemeldeten Lücke wurde das Unternehmen nach unseren Hinweisen schnell aktiv und schloss die Schwachstelle noch am selben Tag. Spätestens mit dem erneuten Hinweis sollte nun aber auch die ganze Webseite ordentlich auf Schwachstellen abgeklopft werden. Schließlich ließ uns der Finder wissen: Die weitere XSS-Lücke hatte er nach Lesen unserer letzten Meldung "innerhalb von fünf Minuten" gefunden. (kbe)