Category Archives: XSS

XSS-Lücke seit Dezember 2008 offen

Im Dezember 2008 habe ich alle Seiten der Datenschutzbehörden untersucht und dabei fast immer Cross-Site-Scripting gefunden. Alle angeschriebenen Behörden haben die gefundenen Lücken auch gestopft — bis auf eine.

Mindestens fünf Jahre lang ist diese XSS-Lücke offen und es ist nichts passiert, weder offensichtliche Schäden für andere, noch der Versuch die Lücke zu schließen. Man kann also behaupten, dass Cross-Site-Scripting ungefährlich ist?! Es gibt evtl. den einen oder anderen sinnvollen Angriffsvektor, aber da es beispielsweise keine Benutzerkonten und kein Login gibt, müsste ein Angreifer schon etwas mehr Aufwand betreiben. Ein gezielter Angriff, auf eine spezielle Person, könnte hier u.U. erfolgreich sein.


Dies nur, weil gerade jemand von der seit Jahren bekannten HZD da war. Siehe dazu: “9 Wochen Tiefschlaf in Hessen” und “Hessische Zentrale für Dauertiefschlaf

XSS, Spam: Verbraucherzentrale Bundesverband

Der Verbraucherzentrale Bundesverband wettert gerne gegen Internetfirmen und fordert von ihnen besseren Datenschutz und mehr Transparenz darüber, wie mit den Daten der Seitenbesucher umgegangen wird. Wer andere fordert, der sollte mit guten Beispiel voran gehen. Ich fordere jetzt nicht die Offenlegung von Sicherheitslücken, aber, dass man Hinweise dazu nicht einfach ignoriert und hofft, dass niemand anderer die Lücken findet.

Vor einigen Wochen fand ich auf www.vzbv.de Cross-Site-Scripting und eine Schwachstelle im Senden-Script (Seitenempfehlung), welches für Spam anfällig ist.


Über das Senden-Script können E-Mails versendet werden, worin eine bestimmte vzbv.de-Seite empfohlen wird, “Diesen Artikel per E-Mail verschicken” Dieses Script prüft allerdings nicht, ob die empfohlene Seite überhaupt zur eigenen Seite gehört. Also empfahl ich eine meiner Seiten und als Empfänger verwendete ich E-Mail-Adressen unter vzbv.de. Viermal empfahl ich, an verschiedene E-Mail-Adressen, meine Seite. Reaktion: Keine!

Da ich nicht wirklich sicher sein konnte, dass die Empfehlungen nicht von einem Spamfilter gefressen wurden, versendete ich an die gleichen vier E-Mail-Adressen, wieder eine pro Tag, eine E-Mail. Diesmal mit zwei Links zu Screenshots, die auf einer meiner Seiten gespeichert waren. Diesmal gab es von mir noch den Hinweis zu Cross-Site-Scripting.

Nach der vierten E-Mail, an deren Betreff ich ein Nummerierung (“2ter Versuch”,”3ter Versuch”, “4ter Versuch”) anhängte, registrierte ich den Zugriff auf die Screenshots, also war zumindest die letzte meiner E-Mails von irgend jemanden gelesen worden. Reaktion: Keine!

Weder die XSS-Lücke noch die Spam-Lücke wurden bisher geschlossen. Auch ließ sich niemand herab, mir eine Antwort zu senden.