Mittwoch, 31. August 2011
Vorbildlich
Am Samstag haben wir Lücken u.a. an united-domains.de und avm.de gemeldet. United hat schon Montag Vormittag und AVM Dienstag Mittag reagiert und die Lücken behoben. Solche Reaktionszeiten wünscht man sich doch :) Außerdem zeigen diese beiden Fälle, dass auch in größeren Unternehmen solche Meldungen schnell bearbeitet werden können und nicht standardmäßig 2 Wochen brauchen bis sie mal in der richtigen Abteilung landen...
Samstag, 6. August 2011
XSS on dawanda.com
Ähnlich wie bei spreadshirt.com haben wir vor 2 Wochen auch bei dawanda.com eine XSS Lücke gefunden. Auch hier ist das besondere die Domain auf der sie ausgenutzt werden kann. Wir haben wieder einen Shop mit dem Namen "Security" erstellt, welcher dadurch auch unter security.dawanda.com erreichbar ist. Beim Aufrufen dieser Seite wird man dann mal wieder redirected und landet auf dawanda.com/shop/security! Ähnlich wie bei spreadshirt.com ist dies wieder eine ziemlich vertrauenswürdige Adresse für nichtsahnende Kunden. Wenn man nun noch in den Header "Sicherheitshinweis" schreibt und statt des eigentlichen Shops eine Aufforderung erscheint seine Login Daten einzugeben dürften auch hier die meisten User das tun.
Zur Veranschaulichung wieder ein kleines Demo Video:
Natürlich haben wir die Lücke gemeldet, leider haben wir bis jetzt noch keine Rückmeldung erhalten. Aber die IT-Abteilung von dawanda.com war anscheint nicht untätig und hat die Lücke nach ein paar Tagen geschlossen.
Zur Veranschaulichung wieder ein kleines Demo Video:
Natürlich haben wir die Lücke gemeldet, leider haben wir bis jetzt noch keine Rückmeldung erhalten. Aber die IT-Abteilung von dawanda.com war anscheint nicht untätig und hat die Lücke nach ein paar Tagen geschlossen.
Donnerstag, 4. August 2011
XSS on spreadshirt.com
Vor 2 Wochen haben wir auf spreadshirt.com eine XSS Lücke gefunden und an die Betreiber gemeldet. Das besondere an dieser Lücke ist die Domain auf der sie ausgenutzt werden kann. Wir haben einen Shop mit dem Namen "Security" erstellt, welcher dadurch unter security.spreadshirt.com erreichbar ist. Beim Aufrufen dieser Seite wird man dann einmal redirected und landet auf security.spreadshirt.com/shop/authenticate. Eine unserer Meinung nach ziemlich vertrauenswürdige Adresse für nichtsahnende spreadshirt Kunden. Wenn dann im Header noch Security steht und dort wo eigentlich der Inhalt sein sollte eine Aufforderung erscheint seine Login Daten einzugeben dürfte das die meisten Nutzer dazu bewegen genau das zu tun.
Zur Veranschaulichung ein kleines Demo Video:
Nachdem wir die Lücke gemeldet haben erhielten wir am 21.7.2011 die Antwort man "hätte den Hinweis an die Kollegen aus der IT-Abteilung weitergeleitet". Dort scheinen allerdings alle im Urlaub zu sein, bis heute hat sich noch niemand darum gekümmert...
Hinweis: Der XSS Code im Video wurde natürlich wieder entfernt, man findet im moment nur das normale Login Formular von spreadshirt auf unserer Shop Seite vor.
Dies ist kein Aufruf um diese Lücke auszunutzen, wir wollen lediglich die Seitenbetreiber dazu bringen die genannten Lücken zu beheben.
Zur Veranschaulichung ein kleines Demo Video:
Nachdem wir die Lücke gemeldet haben erhielten wir am 21.7.2011 die Antwort man "hätte den Hinweis an die Kollegen aus der IT-Abteilung weitergeleitet". Dort scheinen allerdings alle im Urlaub zu sein, bis heute hat sich noch niemand darum gekümmert...
Hinweis: Der XSS Code im Video wurde natürlich wieder entfernt, man findet im moment nur das normale Login Formular von spreadshirt auf unserer Shop Seite vor.
Dies ist kein Aufruf um diese Lücke auszunutzen, wir wollen lediglich die Seitenbetreiber dazu bringen die genannten Lücken zu beheben.
2x XSS on microsoft.com
Today we discovered two XSS attacks on microsoft.com. One can be found on the Microsoft TechNet page, the other on the support pages. For a quick demo you can watch our video on youtube:
Please note that we do not support malicious usage of this attacks, we just publish them for educational purposes.
Please note that we do not support malicious usage of this attacks, we just publish them for educational purposes.
XSS on gamestar.de
XSS auf http://gamestar.de! Mit Hilfe dieser Lücke ist es möglich unbemerkt die Session IDs von angemeldeten Benutzern auszulesen und damit ihren Account zu übernehmen oder Aktionen damit auszuführen. Mit präpierten Accounts wäre es einfach Mailadressen, Usernamen und Passwörter zu sammeln. Die Lücke wurde bereits der GameStar Redaktion per Mail gemeldet. Leider haben wir noch keine Rückmeldung erhalten, deswegen sehen wir uns gezwungen die Lücke Public zu machen!
Dies ist kein Aufruf um diese Lücke auszunutzen, wir wollen lediglich die Seitenbetreiber dazu bringen die genannten Lücken zu beheben
//EDIT: GameStar hat die Lücke nun geschlossen aber uns leider immer noch keine Rückmeldung gegeben!
Here we go - some XSS
Abonnieren
Posts (Atom)