Things that matter... at least for me ;-) - Security Advisories http://krohlas.de/blog/?tid=7 Mon, 11 Jun 2007 23:46:10 +0100 FeedCreator 1.7.2c de-DE Copyright 2007, Sven Krohlas sven@asbest-online.de sven@asbest-online.de http://blogs.law.harvard.edu/tech/rss http://krohlas.de/blog/?eid=228 Neues Themengebiet, erster Eintrag: Sicherheitshinweise verschiedenster Art, auf Webseiten oder in Anwendungen. Kurz: Security Advisories. Hier der Anfang einer hoffentlich nie zu lang werdenden Serie...<br /><br />Kennung: KSA-2007-06-11<br/><br/><br/> Risiko: gering<br/><br/><br/> Status: behoben<br/><br/><br/> Versionshistorie<br/><br/> <ul> <li>2007-06-11: erste Veröffentlichung</li> </ul> <br/><br/> Kategorie: Reflektiertes Cross-Site Scripting <br/><br/><br/> Zusammenfassung: Reflektiertes Cross-Site Scripting (XSS) auf zillo.de <br/><br/><br/> Beschreibung<br/><br/> Der Webshop des in Deutschland recht bekannten Musikmagazines Zillo war bis zum 30.6.2007 anfällig für reflektiertes Cross-Site Scripting. Ursache hierfür war eine nicht überprüfte, vom Besucher übergebene Variable.<br/> Dies hätte von einem böswilligen Angreifer für Phishingangriffe verschiedenster Art genutzt werden können.<br/><br/><br/> Technische Details<br/><br/> Das Skript "show_artikel.cgi" im Shop von zillo.de überprüfte die übergebene Variable "artikel" nicht auf Gültigkeit. Der übergebene Wert wurde wieder ausgegeben, was zum Einschleusen von HTML- oder JavaScript-Code genutzt werden konnte.<br/> <ul> <li><a href="https://www.zillo.de/cgi-bin/zillo2/shop/cgi/show_artikel.cgi?nextpage_params=&artikel=%3Cp%3EHallo,%20ich%20bin%20b%C3%B6ser,%20eingeschmuggelter%20Code.%20hier%20k%C3%B6nnte%20auch%20ein%20Formualr%20stehen,%20dass%20die%20Kontodaten%20eurer%20Kunden%20abfragt%20und%20an%20den%20b%C3%B6sen,%20b%C3%B6sen%20Angreifer%20schickt.%3C/p%3Ezscope052007&prevpage=&pattern=&start=1&lang=deutsch&artikelid=931 ">Beispiel-URL</a></li> <li><a href="KSA-2007-06-11-zillo.de-xss-2007-05-19.png">Screenshot zum Nachweis</a></li> </ul> <br/><br/><br/> Anmerkungen<br/><br/> Die Verantwortlichen bei zillo.de reagierten schnell und interessiert. Im Laufe einer weiteren kurzen -durch den Webmaster herausgeforderten- Betrachtung der Seite wurde innerhalb kürzester Zeit eine weitere Lücke entdeckt. Details dazu folgen nach einer angemessenen Vorwarnzeit für den Hersteller. Mit neuen derartigen Lücken ist auf Grund der Einfachheit der bisherig gefundenen zu rechnen. <br/><br/><br/> Zeitlicher Ablauf der Veröffentlichung<br/> <ul> <li>2007-05-19: Entdeckung der Lücke durch Sven Krohlas und Information des Herstellers</li> <li>2007-05-30: Lücke wurde vom Hersteller als behoben gemeldet</li> <li>2007-06-11: Veröffentlichung der Lücke</li> </ul> Zeit von der Entdeckung bis zur Behebung: 12 Tage.<br/><br/><br/> Querverweise zum Thema XSS<br/> <ul> <li><a href="http://www.heise.de/security/artikel/84149">heise.de</a></li> <li><a href="http://baseportal.com/baseportal/phishmarkt/de">Phishmarkt</a></li> <li><a href="http://www.cert.org/advisories/CA-2000-02.html">CERT</a></li> </ul> Mon, 11 Jun 2007 16:57:01 +0100