Heise-Leser entdeckt Sicherheitslücken auf 150 Webseiten

Florian Gümbel, ein 19-jähriger Leser von heise online und heise Security, hat Schwachstellen auf über 150 namhaften Webseiten wie Bitkom.org, Buhl.de, Eco.de, Ferrari.com, KabelBW.de, Kicker.de, Dresden.IHK.de, Wetter.de und Zurich.de entdeckt. Bei den Lücken handelt es sich um sogenannte Cross-Site-Scripting-Lücken (XSS), die ein Angreifer dazu nutzen kann, um eigenen Code in die verwundbaren Seiten einzuschleusen; etwa, um Zugangsdaten zu stehlen oder Schadcode zu verbreiten.

Außer der schieren Anzahl der verwundbaren Webseiten überrascht auch der Anteil der überregional bekannten und mutmaßlich gut besuchten Internet-Präsenzen. Dabei ist Cross-Site-Scripting bei weitem kein neues Phänomen: heise Security berichtete bereits im Jahr 2003 ausführlich über daraus resultierende Gefahren. Unser Leser hat nach eigenen Angaben rund 12 Stunden gebraucht, um die uns vorliegende Liste mit verwundbaren Seiten zusammenzustellen.

Wir haben daraufhin die Betreiber zahlreicher Webseiten über das Sicherheitsproblem informiert. Die Betreiber der übrigen Seiten hat Florian Gümbel nach eigenen Angaben selbst kontaktiert. Damit stießen wir nicht in allen Fällen auf Interesse: Während etwa die Lücke bei Buhl Data noch am gleichen Tag geschlossen wurde, blieb unsere Anfrage an die Zurich-Versicherung auch nach zwei Wochen noch unbeantwortet – die Lücke ist nach wie vor vorhanden. In den meisten Fällen haben wir keine Antwort erhalten, in einigen Fällen wurden die Lücken immerhin trotzdem geschlossen.

Als Internetnutzer kann man etwa durch die Firefox-Erweiterung NoScript vor durch XSS eingeschleustem Code schützen. Auch Google Chrome und die aktuelle Version des Internet Explorer bieten recht zuverlässige XSS-Filter.

Update: Da offenbar noch nicht wie angenommen alle der über 150 Webseitenbetreiber ausnahmslos informiert wurden, haben wir den Auszug aus der Liste betroffener Domains vorerst entfernt. (rei)