Wenn jemand mein XING-Profil besucht und er dabei in der Liste “Mitglieder, die mein Profil kürzlich aufgerufen haben” mit Namen erscheint, weil er in XING angemeldet ist, so schaue ich mir deren Website kurz an, sofern ich glaube er könnte interessant sein. Wenn man schon etwas länger in XING angemeldet ist, so erkennt man relativ schnell, wer einen besucht, in der Hoffnung einen Gegenbesuch zu erhalten.

Gestern gab es mal wieder einen Kandidaten, den ich als würdig empfand, von mir besucht zu werden. In seinem Profil gab es natürlich auch den Link zu der Firma für die er arbeitet. Es handelt sich um eine Firma die sich auch IT-Security auf die Fahnen geschrieben hat. Naja, da kann ich nicht anders. :O)

Also habe ich gleich das Kontaktformular angesteuert und mein berüchtigtes ">xss als Name eingegeben und das Formular abgeschickt. Es wurde natürlich angezeigt, dass erforderliche Angaben fehlen würden, aber es wurde auch ausserhalb der Formularfelder das xss angezeigt. Also ist zumindest dieses Formular für Cross-Site Scripting anfällig.

Bei einer Firma die IT-Security ganz groß auf ihrer Website anbietet, kann ein solcher Fehler zu Reputationsverlust führen, auch wenn ein krimineller Hacker damit nichts wirklich Sinnvolles anfangen kann, da es auf der Website kein Login oder ähnliches gibt, was einen Angriff lohnen würde.

Also habe ich dem Besucher meines XING-Profils gleich einen kurzen Hinweis dazu geschickt. Womit die Angelegenheit für mich erledigt war. Meist kommt ein kurzes “Danke” oder auch gar nichts, als Reaktion. Dies ist auch OK so, ich brauche keine Bestätigung für mein Ego.

Von mehreren hundert E-Mails mit Hinweisen zu Sicherheitslücken, die ich in den letzten Jahren verschickt habe, ist die Reaktion auf diesen Hinweis einzigartig. Deswegen dieser Blogeintrag. :O)

Sehr geehrter Herr Schwarz,

und nun? Sind Sie nun stolz auf sich?

Ohne freundlichen Gruß
Karl xyz

Nein, auf

• Website ansurfen
• zum Kontakformular navigieren
• ">xss als Name eingeben
• Formular absenden

kann man nicht stolz sein – dies ist keine Herausforderung.

Dieser Mensch ist wohl so stolz auf die Website und seine Firma, dass er keine Kritik akzeptieren kann, auch wenn dieses Versagen eher bei dem Dienstleister zu suchen ist, der für die Website verantwortlich ist.

Da ich nun keine weiteren Aktivitäten, auf meinem Server mit dem Beispiel, verzeichnen konnte, musste ich davon ausgehen dass dieser Mensch meinen Hinweis nicht weitergegeben hatte. Also habe ich eine E-Mail an die Firma direkt versendet. Nach kurzer Zeit kam auch eine Antwort:

Guten Abend Herr Schwarz,

Vielen Dank für den Hinweis. Ich habe die Infos bereits im Hause weiter geleitet.

Ich werde mich in der kommenden Woche nochmals mit Ihnen in Verbindung setzen, da ich mich derzeit im Krankenstand befinde.

Viele Grüße aus xyz
gründer der firma

Vorstandsvorsitzender

Obwohl ich meine E-Mail an eine allgemeine Adresse geschickt habe, hat doch jemand meinen Hinweis für so wichtig gehalten, diese dem erkrankten Vorstandsvorsitzenden weiter zu leiten und für ihn war mein Hinweis so wichtig, dass er sogar selber antwortet.

Damit, so dachte ich, sei die Angelegenheit erst einmal erledig. Aber nein, heute kam dann eine Antwort von einem anderen Mitarbeiter:

Guten Morgen Herr Schwarz,

vielen Dank für Ihre konstruktive Kritik an unserer Web-Seite. Ich habe Ihre Mail an den Administrator weitergeleitet.

Wie glauben Sie denn, dass mein Kollege hätte reagieren sollen? Nur, weil sich jemand Ihr XING-Profil anschaut, nehmen Sie ungefragt dessen Internet-Präsenz unter die Lupe? Und danach lassen Sie es bei einer plakativen Aussage bewenden (“habe ich kurz auf Ihre Website geschaut und eine Lücke zu Cross-Site Scripting gesehen”). Wollten Sie wirklich Awareness betreiben wollen, sollten Sie dem geneigten Leser detailliertere Informationen zukommen lassen.

Lieber Herr Schwarz, bitte lassen Sie mich Ihnen meinen Standpunkt darlegen: Nur, weil die Themen Penetration Testing und/oder Ethical Hacking einen hohen Stellenwert bei Ihnen genießen und Sie professionell damit umgehen können, heißt dies nicht zwingend, dass dies auch für Andere gilt. Es ist uns sehr wohl bewusst, dass die XSS-Problematik nicht unbeachtet sein sollte, nur eben setzen wir anscheinend eine andere Priorität hierauf, als Sie.

Ich vermute, dass ich es Ihren Untersuchungen zu verdanken habe, über unsere Kontaktseite mehrmals am Tag mit einer sinnlosen Mail versorgt zu werden. Nochmals herzlichen Dank für die Information, jedoch empfinde ich Ihren Roboter als störend und bitte Sie daher um Deaktivierung.

Viele Grüße
Ralf xyz

Muss man einer Firma die IT-Security ihren Kunden anbietet, erklären was Cross-Site Scripting ist?

Meine Beispiele sind immer so gestaltet, dass man diese verstehen kann, auch ohne tiefgreifende XSS-Techniken zu kennen. Wäre die angeschriebene Firma nun eine aus dem Fleischereihandwerk gewesen, so hätte ich natürlich auch noch Links zu weiteren Erklärungen mitgeschickt. Ich dachte einfach bei einer IT-Security-Firma wäre so etwas nicht erforderlich.

Auch dies ist ein Novum. Noch nie hat eine IT-Firma meine Beispiele nicht nachvollziehen können und nachgefragt wie ich das gemacht habe.

Es ist uns sehr wohl bewusst, dass die XSS-Problematik nicht unbeachtet sein sollte, nur eben setzen wir anscheinend eine andere Priorität hierauf, als Sie.

Dies mag stimmen, womit sich auch die weit verbreitete Ignoranz erklären lässt. Also ist ihm die XSS-Problematik nicht wirklich bewusst, denn wenn es so wäre, dann würde er anders reagieren. Ich kann nur hoffen, das XSS noch vor der fehlerhaften Anzeige von Umlauten in einer Website, in seiner Prioritätenliste rangiert.

Und der einzige Roboter der von mir benutzt wird, ist das ">xss, was ich schon fast robotermäßig eingetippt habe, bevor sich die Website vollständig aufgebaut hat, was meiner relativ langsamen DSL-Verbindung geschuldet ist. ;O)

Wirklich goldig ist ja noch dies:

Nur, weil sich jemand Ihr XING-Profil anschaut, nehmen Sie ungefragt dessen Internet-Präsenz unter die Lupe?

Wenn eine Website nicht öffentlich ist, dann sollte man den Zugang dazu per Passwort absichern. Ist eine Website frei zugänglich, so muss man damit rechnen, dass jemand “dessen Internet-Präsenz unter die Lupe” nimmt. Ich hoffe diese Firma berät ihre Kunden nicht in die Richtung, dass kriminelle Hacker immer durch die Vordertür kommen und sich dabei an der Rezeption anmelden.


Meine (ungefragten) Untersuchungen beschränke ich immer nur auf Lücken, die keine Daten im System speichern. Die Beispiele zeigen immer nur reflexives Cross-Site Scripting, Cross-Site Request Forgery in selbst angelegten User-Accounts oder Fehlermeldungen die weitere Lücken vermuten lassen, z.B. SQL-Fehlermeldungen, die auf möglich SQL-Injection hinweisen.

OK, diese Menschen können meine Motivation (Das Internet im Alleingang retten. <g>) nicht kennen, aber diese beiden Mitarbeiter sind doch, meiner Meinung nach, irgendwie in ihrer Kommunikation gestört. Vielleicht gehören sie zu den Menschen, die immer nur Böses vermuten und nur so in der Hackordnung einer großen Firma nach oben kommen.

Zu der Hackordnung und Kompetenz in Firmen noch dies:
(Das Video wurde auf Youtube gelöscht.)