XSS Lücke in der Suchfunktion der Deutschen Bank

Wie mir gerade zu Ohren gekommen ist, hat die Deutsche Bank ein kleineres Problem auf ihrer Suchseite "http://search.deutsche-bank.de". Hier ist es möglich über Parameter-Tempering eigenen JavaScript Code einzuschleusen.

Glücklicherweise wurde darauf geachtet, die Cookie-Domain bzw. den Cookie-Path korrekt zu setzten, was das ausspähen von Benutzerdaten, oder sogar eine Sessionübernahme verhindert. Zumindest auf den ersten Block...

Allerdings kann ich auf die Schnelle nicht sagen, wie weitreichend diese Sicherheitslücke ist und welche Risiken damit verbunden sind.

Bei dem folgenden Beispiel des Parameter Tampering Angriffs, hab ich den Paramter der die Suchanfrage enthält so manipuliert, das eine JavaScript Alert Box mit dem Inhalt "Hallo World" angezeigt wird...

Hier ein kleines Beispiel für die Parameter Injection

Hoffe doch das es an der Stelle nicht noch mehr Sicherheitslücken gibt...

Kategorie: 

Neuen Kommentar schreiben