Wenn ich irgendwo lese Agentur XY hat einen Relaunch der WebSite für YZ durchgeführt… dann schaue ich da natürlich auch mal nach XSS – ich bin, was so etwas angeht, irgendwie sehr neugierig. ;O)

Heute las ich wieder solch eine Meldung. Es ging um einen neuen Shop, der mit xt:Commerce (xt-commerce.com) realisiert wurde und zwar in der Version v3.0.4 SP2.1. Tja, was soll ich sagen… natürlich (!?) gibt es dort auch eine XSS-Lücke. Also habe ich mir mal den Demo-Shop der Entwickler angeschaut – in der Annahme das dort die neueste Version läuft – aber dort wird die Version v3.0.4 SP2 benutzt. Auch dort gibt es diese Lücke. Daraufhin habe ich die Jungs angeschrieben und auf diese Lücke hingewiesen, eben kam die Antwort:

Danke für den Hinweis, aber der Demoshop ist keine aktuelle xt:Commerce Version.

In aktuellster Version ist dies nicht mehr Möglich.

Leider ist auf der xt:Commerce-WebSite nicht zu erkennen welche Version die aktuellste ist, da dort nur von v3.0.4 die Rede ist.

Laut dem hier (gunnart.de) ist die 3.0.4 SP2.1 von August 2006. Scheint mir nicht mehr so ganz frisch zu sein… wird das Projekt nicht mehr gepflegt? Bei Open Source ist eine zwei Jahre alte Version ja irgendwie asbach. ;O)

Von gunnart gibt es evtl. auch einen Lösungsansatz (gunnart.de) für die XSS-Lücke. Da ich selber xt:Commerce nicht verwende kann ich nicht sagen ob die class.inputfilter.php alle Eingaben filtert oder nur aus bestimmten Eingabefeldern.

Nach kurzer Recherche, nach Shops die xt:Commerce benutzen, sieht es so aus, als ob nicht alle Shops betroffen sind. Evtl. wurden bei den nicht betroffenen Shops bereits Änderungen an der class.inputfilter.php vorgenommen.

Um zu prüfen ob der eigene Shop betroffen ist kann man einfach mal in den Suchschlitz "><h1>XSS</h1> einfügen und die Suche starten. Sollte dann irgendwie etwas ungewöhnliches angezeigt werden, so hat der Shop auch eine XSS-Lücke.

werde ich ganz bestimmt finden, ich finde immer etwas. :O)

Die Telekom hatte mir gestern geantwortet und u.a. geschrieben:

In den kommenden Tagen möchten wir uns bei Ihnen mit einer kleinen Aufmerksamkeit erkenntlich zeigen.

Da bin ich jetzt mal gespannt, was da kommt. Wenn es ein Familien-Kugelschreiber-Set mit Telekom-Aufdruck ist, dann wird das natürlich bei eBay versteigert. ;O)

Bevor ich den Download-Script-Bug bei der T-ochter gefunden hatte, dachte ich das diese Art von Bug ausgestorben wäre. Ich habe noch mal etwas per Hacker-Tool No.1 gesucht und natürlich auch einige WebSites gefunden, die auch diesen Bug aufweisen. Auch diesmal habe ich wieder E-Mails dazu versendet… :O)


Ein CMS-Hersteller meinte:

da haben Sie uns tatsächlich eiskalt erwischt. Wir werden uns sofort um eine Lösung bemühen und zusehen, dass unsere Kunden ein Update erhalten. Ich hatte mich beim Ansehen des Logs schon gewundert, wer da mit dem Download herumspielt. Diese offensichtliche, beinahe schon klassische Lücke ist in der Tat sehr ärgerlich, da wir grossen Wert auf eine saubere Umsetzung legen.

Als kleinen Dank für Ihre Hilfe möchte ich Ihnen eine Lizenz kostenlos für Ihren freien Gebrauch anbieten.

Für eine Lizenz müßte man 600 Euro berappen! also muß die Telekom sich anstrengen, denn der CMS-Hersteller ist im Vergleich zur Telekom natürlich ein Zwerg. ;O)

Wer sich wundert was da so in seinen Logfiles steht, der sollte auch mal etwas genauer hinschauen. Die da spielen sind nicht immer nur WhiteHats.


Ein WebMaster schreibt:

<AU!>

Vielen Dank für den Hinweis. Diese Möglichkeit war mir nicht bekannt. Da muss ich auf jeden Fall etwas tun.

Eigentlich muss die Seite sowieso neu gemacht werden (sehr alt und hatte vor kurzem auch viele SQL-Injection Lücken), aber das muss ich nun auch sofort angehen. Dieses Download Script werde ich erst einmal deaktivieren und dann muss die Struktur neu überdacht werden, also alles was zum Download gedacht ist in ein unsicheres Verzeichnis und alle asp Dateien und andere Dokumente, die nicht für alle erreichbar sein sollen in ein gesperrtes Verzeichnis.

Meine einzige Ausrede: Ich habe das schon ohnehin überholte System letzten Dezember übernommen und anscheinend davon ausgegangen, das alles I.O. ist.

Nochmals vielen Dank für den hilfreichen Hinweis.

</AU!>

Ein WebMaster mit Humor. Dieses <AU!>… </AU!> habe fast immer wenn ich am Surfen bin… da gibbet WebSites… oh mein Gott…


Und ein Dienstleister:

vielen dank für den Hinweis. Dies ist uns bewußt.
Wir arbeiten daran die Probleme zu beheben.

Jo, da waren nämlich schon Hacker aus Polen drauf und haben sich selber einen News-Eintrag geschrieben, der für 4 Tage online war. Ist schon klar das man auf seiner eigenen WebSite nicht jeden Tag rumsurft, aber hat das denn kein Besucher bemerkt? Oder sind diese Defacements schon so weit verbreitet das es gar niemanden mehr auffällt das es eigentlich nicht zur WebSite gehört?


Ich habe mehrere verschiedene Content Management Systeme gefunden in denen dieser Bug zu finden ist, die natürlich von verschiedenen WebSites benutzt werden, also sind nun mehr als eine WebSite von dem Bug betroffen. Alle diese CMS sind nicht Open Source. Ich behaupte jetzt mal, wenn es Open Source wäre, dann hätten ganz sicher schon irgendwelche Korinthenkacker wie ich, den Fehler, und noch weitere, gefunden. Deswegen bin ich ein großer Freund von Open Source.

Und noch einmal für alle die die Software entwickeln:
Open Source != kostenlos
Überlegt es euch – zur Sicherheit eurer Kunden!