Auf den Seiten von Websense gibt es u.a. PDFs für deren Download man registriert sein muss. Solche Zwangsregistrierungen sind immer sehr dumm. Der der die Dokumente runterladen möchte, aber nicht jedem seine persönlichen Daten preisgeben will, wird einfach falsche Daten in die Felder einfügen. Also wird Websense nur einen Bruchteil der gewonnen Daten wirklich nutzen können, um einen potenziellen Kunden anzusprechen. Viel sinnvoller wäre es, die Downloads vollkommen offen zu gestalten und zusätzlich ein Registrierungsformular anzubieten, so nach dem Motto: “Hier ist der Download und wenn du möchtest, dann senden wir dir weitere Informationen zum Thema.”

Nach dem Absenden der leeren Formularfelder wird einem ein JavaScript-Alert mit dem Hinweis angezeigt, dass vom Namen der Firma, bis zur Anzahl der Mitarbeiter, alle Felder ausgefüllt sein müssen. Ich dachte mir, ich schalte mal JavaScript ab, um die (Vor)Prüfung der Daten zu übergehen und zu schauen was dann geprüft wird. Etwas belustigt konnte ich feststellen, dass nach dem Absenden des Formulars, der Download sofort startete. Die Jungs von Websense verlassen sich also darauf, dass jeder Interessent in seinem Browser JavaScript aktiviert hat und nicht weiß das man dies auch deaktivieren kann. Es ist schon bedenklich, wenn eine Firma seine potenziellen Kunden für dumm hält.

Wo speichert Webnonsense denn die persönlichen Daten ab? Da müsste dann noch eine SQL-Fehlermeldung kommen, weil ein leerer Datensatz nicht gespeichert werden konnte! ;O)

Was ich erst später sah, im Quellcode der Seite mit dem Formular gibt es ein Hidden-Feld, in dem der komplette Link des PDFs zu finden ist. Schon erstaunlich, dass in den Login-Formularen keine weiteren Hidden-Felder mit User/Password zu finden sind. ;O)

Wer solche lächerlichen Fehler macht, der macht ganz bestimmt auch andere:



Man kann es einfach nur lustig finden, wenn Websites von Parteien oder Politikern verunstaltet werden, wenn per XSS-Injektion eine Zeitung plötzlich die dollsten Geschichten verbreiten, aber bei Firmen die sich selber zu der IT-Security-Branche zählen, ist so etwas weniger lustig.

Firmen die Software verkaufen die vor Viren, Würmern und Trojanern schützen sollen, müssen ganz besonders auf die Sicherheit ihrer Websites achten. Dank der KurzURLs wird kaum jemand bemerken, wenn ihm per XSS-Link, zu einer eigentlich vertrauenswürdigen Website, ein Fake-Virenscanner angeboten wird.

Eben las ich von einer XSS-Lücke in www.hurzel-burzel.de (ja, die Domain ist noch frei <g>) auf xssed.com. Bei DE-Domains schau ich immer etwas genauer hin. ;O)

Zur Zeit wird auf der Domain eine Seoparking-Seite angezeigt, was auch nicht weiter verwunderlich ist, denn seit Jahren scheinen dort, laut Wayback Machine (archive.org), keine Inhalte mehr gehostet zu sein. Auch im Google-Cache findet man nichts zu der Domain. Da frage ich mich natürlich wie diese pösen Purschen, auf einer Website ohne Inhalte eine XSS-Lücke finden konnten, diese von XSSed dokumentiert wird und zwei Tage später nur eine Seoparking-Seite angezeigt wird, die mit einem Popup garniert ist, welches aber nicht Sedo eingefügt.

Quellcode von http://www.hurzel-burzel.de/:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//DE">
<html>
(...)
<frameset cols="*,0" border="0">
<frame src="http://www.sedoparking.com/hurzel-burzel.de" scrolling="auto">
<frame src="/index_frame.php" name="Counter" scrolling="no">
<noframes>
(...)
</html>

Und was findet sich nun so spannendes in der index_frame.php?
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//DE">
(...)
<body onload="top.focus();">
<script type="text/javascript">
var pw = window.open("http://www.softwaresammler.de/7/?web=10094&code=lhp", "_blank", "location=1,scrollbars=1,menubar=1,toolbar=1,resizable=1,statusbar=0"); pw.blur();
(...)
</html>

Die “Softwaresammler” (google.de) sind diese netten Menschen, die einen Lehrauftrag haben und unwissenden Surfern, für 192 Euro, beibringen, dass nicht alle Downloads kostenpflichtig sind, nur weil jemand Abo dran schreibt.

Durch Drücken des Buttons “Anmelden” entstehen Ihnen Kosten von 96 Euro inkl. Mehrwertsteuer pro Jahr (12 Monate zu je 8 Euro). Vertragslaufzeit 2 Jahre.

Ob sich das für den Besitzer der Domain lohnt?

1. Ein Surfer verläuft sich auf eine seit Jahren ungenutzte Domain.
2. Im Browser des Verläufers sind Popups zugelassen.
3. Der Verläufer meint, dass es vollkommen normal ist, seine persönlichen Daten für einen Download anzugeben.
4. Der Verläufer bemerkt auch nicht den Hinweis rechts, auf dem ihm mittgeteilt wird, dass er nun ein Abo für 8 Euro pro Monat, für die nächsten zwei Jahre eingeht.

Alles sehr unwahrscheinlich, aber irgendwie muss es sich ja lohnen, genauso wie V1a8ra-Spam, sonst würde sich ja niemand die Mühe machen.