zurück zum Artikel

Über 160 Finanzämter in Hamburg, Hessen, Baden Württemberg und Brandenburg hatten ganz offensichtliche Sicherheitslücken auf ihren Web-Seiten.

Leser von heise Security hat aus Neugier die Web-Seiten diverser Finanzämter etwas genauer angeschaut und dabei quasi auf Anhieb ernste Sicherheitslücken entdeckt. Betroffen waren über 160 Finanzämter in Hamburg, Hessen, Baden Württemberg und Brandenburg.

Bei den Lücken handelte es sich um so genannte Cross Site Scripting Probleme (XSS). Dabei filtert eine Server-Applikation wie die Suche die Benutzereingaben nicht ausreichend und lässt HTML-Code oder sogar Javascript durchrutschen. Angriffe erfolgen dann jedoch nicht auf dem Server, sondern quasi über Bande im Web-Browser der Anwender. Warum das trotzdem ein ernstes Problem für Sicherheit und Privatsphäre ist, erläutert der Artikel Passwortklau für Dummies [1].

Patrik Fehrenbach und Pascal Evers, die die Lücken entdeckt hatten, reichten diese Information an heise Security weiter, woraufhin wir das Team von CERT-Bund [2] kontaktierten. Die übernahmen die mühselige Aufgabe, die Betreiber zu informieren, die dann auch innerhalb weniger Wochen Gegenmaßnahmen ergriffen. Beängstigend an der Sache ist, dass in allen Fällen die auf der jeweiligen Hauptseite angebotene Suchfunktion auf triviale Weise anfällig war. Dort mal einen Test-String wie

'"><h1>XSS

einzugeben, ist das erste, was jeder macht, der einer Web-Seite auf den Zahn fühlen will. Wenn schon dieser Test Erfolg hat, deutet das darauf hin, dass noch nie jemand die Seiten ernsthaft auf Sicherheit untersucht hat und eine systematische Suche viele weitere Probleme zu Tage fördern wird. (ju [3])

URL dieses Artikels:
https://www.heise.de/-2039317

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Passwortklau-fuer-Dummies-270910.html
[2] https://www.cert-bund.de/
[3] mailto:ju@ct.de

Copyright © 2013 Heise Medien