Fehlermeldung

  • Notice: Trying to access array offset on value of type int in element_children() (Zeile 6595 von /usr/www/users/cjunky/it.cjunky.de/includes/common.inc).
  • Notice: Trying to access array offset on value of type int in element_children() (Zeile 6595 von /usr/www/users/cjunky/it.cjunky.de/includes/common.inc).
  • Notice: Trying to access array offset on value of type int in element_children() (Zeile 6595 von /usr/www/users/cjunky/it.cjunky.de/includes/common.inc).
  • Deprecated function: implode(): Passing glue string after array is deprecated. Swap the parameters in drupal_get_feeds() (Zeile 394 von /usr/www/users/cjunky/it.cjunky.de/includes/common.inc).
  • Deprecated function: The each() function is deprecated. This message will be suppressed on further calls in menu_set_active_trail() (Zeile 2405 von /usr/www/users/cjunky/it.cjunky.de/includes/menu.inc).

XSS Lücke in der Suchfunktion der Deutschen Bank

Wie mir gerade zu Ohren gekommen ist, hat die Deutsche Bank ein kleineres Problem auf ihrer Suchseite "http://search.deutsche-bank.de". Hier ist es möglich über Parameter-Tempering eigenen JavaScript Code einzuschleusen.

Glücklicherweise wurde darauf geachtet, die Cookie-Domain bzw. den Cookie-Path korrekt zu setzten, was das ausspähen von Benutzerdaten, oder sogar eine Sessionübernahme verhindert. Zumindest auf den ersten Block...

Allerdings kann ich auf die Schnelle nicht sagen, wie weitreichend diese Sicherheitslücke ist und welche Risiken damit verbunden sind.

Bei dem folgenden Beispiel des Parameter Tampering Angriffs, hab ich den Paramter der die Suchanfrage enthält so manipuliert, das eine JavaScript Alert Box mit dem Inhalt "Hallo World" angezeigt wird...

Hier ein kleines Beispiel für die Parameter Injection

Hoffe doch das es an der Stelle nicht noch mehr Sicherheitslücken gibt...

Kategorie: 

Neuen Kommentar schreiben