Hallo,
vor mehr als einer Woche habe ich mehrere Sicherheitslücken in bestimmten Versionen des Jagusch-Script entdeckt, die es ermöglichen, Cross-Site-Scripting-Angriffe durchzuführen. Solche Angriffe lassen sich unter anderem dazu nutzen, Passwörter, Emailadressen, Session-Ids und zahlreiche andere persönliche Nutzerdaten auszulesen. Diese Angriffe habe ich gegen Test-Accounts erfolgreich durchgeführt, und sie sind mit vertretbarem Aufwand auch als echte Angriffe gegen fremde Accounts durchführbar.
Ich habe die Admins der betroffenen Seiten (zehn an der Zahl) angeschrieben. Einer hat den Fehler bislang behoben, allerdings ohne es für nötig zu halten sich mal für den Hinweis zu bedanken. Ein weiterer, dem 4 der betroffenen Seiten gehören, hat sich für den Hinweis bedankt, die Fehler aber noch nicht behoben. (Dort liegt das Problem aber etwas anders als in den anderen Fällen, denn der Angriff an sich ist nicht erfolgreich, aber hat viele Datenbank-Fehlermeldungen zur Folge. Es ist anzunehmen, dass die Nutzereingaben dort nicht ausreichend geprüft werden, so dass sich vermutlich SQL Injections durchführen lassen. Auch diese Art von Angriff bietet einem weitreichende Möglichkeiten, oftmals sogar noch bessere als bei XSS (=Cross-Sitescripting); ich habe jedoch mangels Zeit nicht überprüft, ob sich solche Angriffe dort durchführen lassen.)
Bleiben also 5 Seiten, auf denen der Fehler nach einer Woche weder behoben ist, noch eine Reaktion kam. (Eine Antwort mit dem Inhalt "Ich habe keine Zeit den Fehler zu beheben, werde mich aber sobald wie möglich darum kümmern" hätte ich zwar für unverantwortlich gehalten, aber wenigstens noch verstanden.)
Aus diesem Grund stelle ich hier nun einen Demo-Angriff vor. Dabei nutze ich eine der weniger kritischen Sicherheitslücken aus, um auf den betroffenen Seiten beliebigen HTML-, Javascript- oder sonstigen clientseitigen Code auszuführen. Konkret wird hier nur den Text "XSS works" oder bei aktiviertem Javascript der Text "XSS with javascript works even better. Hier könnte IHR Text stehen. Oder IHR Passwort gestohlen, IHRE Emailadresse ausgelesen, IHR Account gelöscht werden." eingebunden, doch wenn das geht, würden auch alle anderen Inhalte funktionieren, wie meine Tests ja auch bestätigt haben.
Wer Javascript deaktiviert hat, ist vor vielen XSS-Angriffen geschützt, denn dann kann zwar beliebiger zusätzlicher Text angezeigt werden, aber es können persönlichen Daten ausgelesen und an den Angreiferserver gesendet werden. (Mal ein Beispiel wo "nur" Text eingebunden wurde: Bundeskanzlerin Merkel tritt zurück auf www.bundesregierung.de)
Wer eine aktuelle Version der Firefox-Erweiterung noscript verwendet, ist vor vielen XSS-Angriffen geschützt, da diese automatisch erkannt werden.
Auf folgenden Seiten könnt ihr die Demo-Angriffe ansehen:
https://www.reading4money.de/
https://bannisdukatenportal.de/
https://www.beatmails.de/
https://klicks-ohne-en.de/
https://www.dragongeiz.de/
Den Nutzern dieser Mailer möchte ich folgende Empfehlungen geben:
- In den AGB der betroffenen Mailer gibt es (hoffentlich) einen Absatz zum Datenschutz. Solange der Angriff funktioniert, ist keine Datensicherheit mehr gewährleistet. Möglicherweise wäre also eine Kündigung aus wichtigem Grund bzw. Nichterfüllung der vertraglichen Pflichten erfolgreich.
- Unabhängig davon würde ich zur Abmeldung raten
- Wer das dort verwendete Passwort auch auf anderen Seiten verwendet, sollte es dringend überall ändern
Mit freundlichen Grüßen,
Hannes
vor mehr als einer Woche habe ich mehrere Sicherheitslücken in bestimmten Versionen des Jagusch-Script entdeckt, die es ermöglichen, Cross-Site-Scripting-Angriffe durchzuführen. Solche Angriffe lassen sich unter anderem dazu nutzen, Passwörter, Emailadressen, Session-Ids und zahlreiche andere persönliche Nutzerdaten auszulesen. Diese Angriffe habe ich gegen Test-Accounts erfolgreich durchgeführt, und sie sind mit vertretbarem Aufwand auch als echte Angriffe gegen fremde Accounts durchführbar.
Ich habe die Admins der betroffenen Seiten (zehn an der Zahl) angeschrieben. Einer hat den Fehler bislang behoben, allerdings ohne es für nötig zu halten sich mal für den Hinweis zu bedanken. Ein weiterer, dem 4 der betroffenen Seiten gehören, hat sich für den Hinweis bedankt, die Fehler aber noch nicht behoben. (Dort liegt das Problem aber etwas anders als in den anderen Fällen, denn der Angriff an sich ist nicht erfolgreich, aber hat viele Datenbank-Fehlermeldungen zur Folge. Es ist anzunehmen, dass die Nutzereingaben dort nicht ausreichend geprüft werden, so dass sich vermutlich SQL Injections durchführen lassen. Auch diese Art von Angriff bietet einem weitreichende Möglichkeiten, oftmals sogar noch bessere als bei XSS (=Cross-Sitescripting); ich habe jedoch mangels Zeit nicht überprüft, ob sich solche Angriffe dort durchführen lassen.)
Bleiben also 5 Seiten, auf denen der Fehler nach einer Woche weder behoben ist, noch eine Reaktion kam. (Eine Antwort mit dem Inhalt "Ich habe keine Zeit den Fehler zu beheben, werde mich aber sobald wie möglich darum kümmern" hätte ich zwar für unverantwortlich gehalten, aber wenigstens noch verstanden.)
Aus diesem Grund stelle ich hier nun einen Demo-Angriff vor. Dabei nutze ich eine der weniger kritischen Sicherheitslücken aus, um auf den betroffenen Seiten beliebigen HTML-, Javascript- oder sonstigen clientseitigen Code auszuführen. Konkret wird hier nur den Text "XSS works" oder bei aktiviertem Javascript der Text "XSS with javascript works even better. Hier könnte IHR Text stehen. Oder IHR Passwort gestohlen, IHRE Emailadresse ausgelesen, IHR Account gelöscht werden." eingebunden, doch wenn das geht, würden auch alle anderen Inhalte funktionieren, wie meine Tests ja auch bestätigt haben.
Wer Javascript deaktiviert hat, ist vor vielen XSS-Angriffen geschützt, denn dann kann zwar beliebiger zusätzlicher Text angezeigt werden, aber es können persönlichen Daten ausgelesen und an den Angreiferserver gesendet werden. (Mal ein Beispiel wo "nur" Text eingebunden wurde: Bundeskanzlerin Merkel tritt zurück auf www.bundesregierung.de)
Wer eine aktuelle Version der Firefox-Erweiterung noscript verwendet, ist vor vielen XSS-Angriffen geschützt, da diese automatisch erkannt werden.
Auf folgenden Seiten könnt ihr die Demo-Angriffe ansehen:
https://www.reading4money.de/
https://bannisdukatenportal.de/
https://www.beatmails.de/
https://klicks-ohne-en.de/
https://www.dragongeiz.de/
Den Nutzern dieser Mailer möchte ich folgende Empfehlungen geben:
- In den AGB der betroffenen Mailer gibt es (hoffentlich) einen Absatz zum Datenschutz. Solange der Angriff funktioniert, ist keine Datensicherheit mehr gewährleistet. Möglicherweise wäre also eine Kündigung aus wichtigem Grund bzw. Nichterfüllung der vertraglichen Pflichten erfolgreich.
- Unabhängig davon würde ich zur Abmeldung raten
- Wer das dort verwendete Passwort auch auf anderen Seiten verwendet, sollte es dringend überall ändern
Mit freundlichen Grüßen,
Hannes
die ersten 3 URLs sind schon mal entscriptet