StudiVZ und 1&1 beseitigen Cross-Site-Scripting-Schwachstellen [Update]
Über die Schwachstellen hätten Angreifer Anmeldedaten abgreifen oder Mails einsehen können. Das Portal SchülerVZ war ebenfalls betroffen.
Über Schwachstellen in StudiVZ hätten Angreifer Anmeldedaten abgreifen oder Mails einsehen können. Das Portal SchülerVZ war ebenfalls betroffenn. Die XSS-Lücke bei StudiVZ [1] befand sich im Login-Formular. Durch die fehlende Filterung von Quotes (") war es möglich, in die Felder "E-Mail" und "Passwort" JavaScript hineinzuschreiben. Bei einer Demo des Entdeckers der Lücke, dem heise-online-Leser Sergej S., wurde das Script ausgeführt, sobald man die Maus über eines der Felder bewegte. Prinzipiell hätte etwa ein Phisher mit einem Skript die eingegebenen Login-Daten von Nutzern abgreifen können. Für einen erfolgreichen Angriff hätte ein Opfer aber auf einen präparierten Link klicken müssen, etwa in einer Mail oder einer Webseite.
StudiVZ konnte den Fehler [Update]nach dem ersten Hinweis von heise Security nachvollziehen und behob den Fehler. Zudem wurde ein weiterer Fehler im Eingabeformular beseitigt. [/Update] Der gleiche Fehler befand sich auch im Login-Formular von SchülerVZ [2], er wurde dort aber ebenfalls behoben.
1&1 hatte hingegen mit einer Cross-Site-Scripting-Lücke in seinem Webmailer zu kämpfen. In der Betreffzeile enthaltenes JavaScript wurde beim Öffnen im Browser im Kontext von 1&1 ausgeführt. Ein Angreifer hätte mit einer präparierten Mail beispielsweise das Cookie kopieren können oder Zugriff auf weitere Mails erhalten können. 1&1 hat die Lücke innerhalb eines Tages nach der Benachrichtigung durch heise Security geschlossen. Zudem will man den Vorfall laut Pressesprecher Andreas Maurer zum Anlass nehmen, den gesamten 1&1-Webmailer in den nächsten Wochen einem ausführlichen Sicherheitscheck unterziehen.
Siehe dazu auch:
- Passwortklau für Dummies... oder warum Cross Site Scripting wirklich ein Problem ist. [3], Hintergrundartikel auf heise Security
- Cross-Site-Scripting: Datenklau über Bande [4], Hintergrundartikel auf heise Security
(dab [5])
URL dieses Artikels:
https://www.heise.de/-182563
Links in diesem Artikel:
[1] http://www.studivz.net/
[2] http://www.schuelervz.net
[3] https://www.heise.de/hintergrund/Passwortklau-fuer-Dummies-270910.html
[4] https://www.heise.de/hintergrund/Cross-Site-Scripting-Datenklau-ueber-Bande-270244.html
[5] mailto:dab@ct.de
Copyright © 2008 Heise Medien