Videoworld.de schließt persistente XSS Lücke

Auf der Suche nach einigen Filmen und stießen auf die Videothek Videoworld.de

In der Suche der Videothek Videoworld war es möglich eigenen Javascript- bzw. HTMLcode einzuschleusen.

Die Suche war scheinbar dabei so programmiert worden, dass bei jeder Suchanfrage eine HTML-Datei erzeugt wurde, welche die Ergebnisse beinhalteten. Dabei wurde der Suchbegriff nicht korrekt gefiltert und ausgegeben, was die persistente Cross Site Scripting Lücke ermöglichte.

Über eine Cross Site Scripting (XSS) Lücke können Angreifer das Verhalten bzw. Erscheinungsbild einer Webseite nach ihrem Gutdünken manipulieren, und sogar private Daten, wie Cookies, z.B. zur Authentifizierung, auslesen, diese sich zuschicken lassen und damit die Identität des Opfers annehmen, wenn die unsichere Webseite keine weiteren Sitzungsprüfungen vornimmt.

Wir versuchten zunächst Kontakt per Email aufzunehmen (01.06.2012), jedoch bekamen wir darüber keine Rückmeldung bis man uns telefonisch, am 05.06.2012, Emailadresse des Entwicklers mitteilte, da die Emailadressen, welche auf der Seite genannt wurden, Spamprobleme aufwiesen. Nach einer raschen Weiterleitung wurde das Problem noch am selben Tag behoben.

Der Entwickler bedankte sich für den Hinweis sagte das dieses Projekt “notwendig und auch sehr sinnvoll [sei]”. Wir bedanken uns bei dem Entwickler für die Zusprüche und die sehr schnelle Behebung des Sicherheitsproblems.

Das Internetwache Team