Warum man Geld für fähige Programmierer ausgeben sollte

Auf dem 23C3 in Berlin wurden einige interessante Hacks vorgestellt, und im Wiki tauchte eine kleine Liste auf, was wo wie exploitbar ist. Unter anderem waren auch ein paar wenige Cross-Site-Scripting Sachen dabei. Mich hat es etwas gewundert, dass es wirklich nur wenige waren, und da dachte ich mir, schaust du mal, was heutzutage noch so alles geht.

Das Ergebnis war leider etwas erschreckend, unter den angreifbaren Seiten waren nicht nur namhafte Netzwerk-Hardware Hersteller, sondern auch der Verkehrsverbund-Rhein-Ruhr, die Gelben-Seten und Das Örtliche. Ich bin kein Black-Hat oder so, möchte die Lücken dennoch hier mal veröffentlichen um die Aufmerksamkeit der Medien ein wenig zu pushen.

Hier also die Lücken:

Netgear
Auf netgear.de kann man ganz einfach einen "bösen" Link bauen:
http://netgear.de/de/suche.html?q=%3Cscript%3Ealert('hallo')%3C/script%3E
Einfach als Such-Query etwas wie <script>...</script> eingeben.
Netterweise geht das selbe auch auf netgear.com, obwohl deren Flash erstmal bei < im Query das Formular nicht abschicken will, aber wozu gibts Links?
http://netgear.com/Search.aspx?text=%3Cscript%3Ealert('a')%3C/script%3E

Saturn
saturn.de ist ganz schlau, man kann nur rein, wenn man ein Cookie gesetzt hat. Also kurz auf http://www.saturn.de gehen, irgend eine Filiale ausswählen und...
saturn.de den Link anklicken.
Hier hat man wieder einen typischen Such-Fehler, aber man muss vor dem <script> ein "> reinklatschen, damit das input-Feld zuende ist.

Subway
Genau das Gleiche passiert auch auf der Seite von Subway, wenn man eine Filiale suchen möchte:
subway-sandwiches.de

VRR
Wer gerne Online den Fahrplan nachguckt, sollte vrr.de nicht vertrauen:
vrr.de
Wieder der selbe Fehler, der netterweise auch auf rheinbahn.de existiert.

YellowMap
Den Weg zum 23C3 in Berlin findet man am besten mit yellowmap.de:
yellowmap.de
Hier wollte ein Script irgendwie nicht, aber das Bild ist doch auch nett, oder?

Das Örtliche
Suchmaschinen sind was feines, wenn man vor der Suche weiß, was sie finden:
dasoertliche.de
Hier ist übrigens ausnahmsweise nicht die Suche schuld, sondern das dynamische erstellen des Seitentitels aus der URL.

GelbeSeiten
Die Krönung war aber die Seite der GelbeSeiten, die Suchfelder für Was und Wo werden nämlich sauber nach "komischen" Zeichen gefiltert, aber die Suche in den Treffern ist angreifbar:
gelbeseiten.de (leider ist da eine SessionID drin, aber da kommt man bestimmt auch drumherum)

Ich verstehe einfach nicht, wie man so fahrlässig handeln kann, werde aber gleich die Betreiber der Seiten und Heise Security mit einem Link zu diesem Beitrag beglücken und hoffen, sie lernen was daraus.

Comments