XSS Sicherheitslücke bei Real, Lidl und Rewe
Datum 14.04.2009 | Kategorien Internet, Programmieren, SicherheitSchon vor einigen Tagen fand ich die Sicherheitslücken, bei den Einzelhandelsunternehmen Real, Lidl und Rewe. Nachdem meine Meldung an die Unternehmen bereits einige Tage zurückliegt, habe ich leider nur feststellen können, dass Lidl entsprechend reagiert hat und die Sicherheitslücke behoben hat. Wobei ein Programmierer hierfür nicht mehr als 2 Minuten brauchen dürfte.
Durch XSS Sicherheitslücken können Angreifer bei Shoptransaktionen und ähnlichen Dingen durch einschleusen von Schadcode Eingaben auslesen. In wie weit dies bei den noch betroffenen Unternehmen möglich ist, habe ich nicht getestet, da dieser Schritt illegal wäre.
Aus gegebenem Anlass, möchte ich hier noch einmal auf mein Tutorial zur sicheren PHP Programmierung verlinken. In diesen Fällen würde die Funktion htmlspecialchars() die XSS Sicherheitslücken beheben.
Hier noch 2 Screenshots:
Sicherheitslücken bei Lidl & REWE und Co .. auf der einen Seite investieren diese Multikonzerne Millionen zur Überwachung Ihrer Mitarbeiter und kündigen diese wegen einigen Cent .. Die Vorstände belohnen sich gegenseitig und klopfen sich auf die Schulter und dann das “Sicherheitslücken” im www. Wo gerade hier die Investitionskosten relativ gering ausfallen sollten .. *mit dem Kopf schüttel*
Und die Schäden so groß sein könnten, wenn dadurch mehre Bürger ihren Daten beraubt werden.
Die PHP Funktion htmlspecialchars() löst das XSS Problem nicht. Mit entsprechender Kodierung wären weiterhin verschiedene XSS Angriffe möglich. Besser wäre die Eingabe mit Regulären Ausdrücken zu prüfen, htmlspecialchars() wandelt nur .
Besser wäre es nur eine bestimmte Eingabe zuzulassen oder zumindest #% und Wörtchen wie “java” und “script” zu filtern.
Ich bezweifle auch stark das XXS das größte Problem ist was solche Seiten haben. Meist wird sowas sogar absichtlich offen gelassen um Skriptkiddys eine Erfolgserlebnis zu verschaffen. Eine echte Übername des Servers oder das Ausspionieren der Kundendaten ist eine andere Liga.
Beste Grüße
@ Jörg, könntest du mir diese “entsprechenden” Kodierungen mal beispielhaft zeigen oder genauer erläutern?