Vor 2 Wochen haben wir auf spreadshirt.com eine XSS Lücke gefunden und an die Betreiber gemeldet. Das besondere an dieser Lücke ist die Domain auf der sie ausgenutzt werden kann. Wir haben einen Shop mit dem Namen "Security" erstellt, welcher dadurch unter security.spreadshirt.com erreichbar ist. Beim Aufrufen dieser Seite wird man dann einmal redirected und landet auf security.spreadshirt.com/shop/authenticate. Eine unserer Meinung nach ziemlich vertrauenswürdige Adresse für nichtsahnende spreadshirt Kunden. Wenn dann im Header noch Security steht und dort wo eigentlich der Inhalt sein sollte eine Aufforderung erscheint seine Login Daten einzugeben dürfte das die meisten Nutzer dazu bewegen genau das zu tun.
Zur Veranschaulichung ein kleines Demo Video:
Nachdem wir die Lücke gemeldet haben erhielten wir am 21.7.2011 die Antwort man "hätte den Hinweis an die Kollegen aus der IT-Abteilung weitergeleitet". Dort scheinen allerdings alle im Urlaub zu sein, bis heute hat sich noch niemand darum gekümmert...
Hinweis: Der XSS Code im Video wurde natürlich wieder entfernt, man findet im moment nur das normale Login Formular von spreadshirt auf unserer Shop Seite vor.
Dies ist kein Aufruf um diese Lücke auszunutzen, wir wollen lediglich die Seitenbetreiber dazu bringen die genannten Lücken zu beheben.
Keine Kommentare:
Kommentar veröffentlichen