Sicherheit im Web? Was ist denn das?

Da ich täglich mit dem Internet zu tun habe, sehe ich immer und immer wieder Seiten die es mit der Sicherheit nicht so ernst nehmen. Das sind ja wohl nur kleine und unbedeutende Seiten werden Ihr jetzt denken. Aber ganz im Gegenteil!

An dieser Stelle möchte ich nun ab und an ein paar Seiten als Beispiele incl. der Schwachstelle (soweit möglich) nennen.

Zuerst möchte ich doch anmerken, die die Seiten die ich nun, und in der Zukunft als Beispiel nennen werde wurden alle über ihre Sicherheitslücken in Kenntnis gesetzt, oder haben die Probleme schon selbst gefunden und behoben!

Als erstes Beispiel möchte ich die Möglichkeit der XSS Injection bei der Suchfunktion der Detuschen Bank nennen, über die ich mich schon mal kurz ausgelassen hab.

Wie man bei der ersten Seite schon klar erkennen kann, haben nicht nur kleine Seiten und CMS Systeme Schwachstellen.

Als nächstes möchte ich in dieser Liste die Seite von www.babyclub.de, sowie www.weleda.de nennen. Diese Seiten hatten lange Zeit den "WebDatabases Publisher" als CMS im Einsatz. Zu dieser Zeit gab es bei der Administrativen Anmeldung des Publishers eine riesige Sicherheitslücke, bei der man sich mit der Einfachsten Art von SQL Injection (' or 1 = 1; --'), mit Admin Rechten anmelden konnte.

Als Administrator des Publishers, hat man nicht nur alle Rechte die man braucht um Inhalte zu verändern, sondern kann sich auch sämtliche User Informationen ausgeben lassen.

Meines Wissens, haben sich beide Firmen vom "WebDatabases Publisher" verabschiedet.

Ich hoffe das nun im Laufe der Zeit diese Version nirgends mehr im Einsatz ist.

Wie die drei ersten Beispiele Zeigen, sind es eben nicht die kleinen Seiten um die wir uns Sorgen machen müssen, sondern gerade die Großen.

Ich bin mal gespannt, wann sich das Gefühl für Datensicherheit in Deutschland ändert...

In Kürze mehr.


In this article



Most Recent


More posts

Übersicht über Magento Events
Übersicht über Magento Events

Hier eine Übersicht über die Events von Magento, und wo diese zu finden sind. Für was die Events gut sind, und wie man Diese benutzt werd ich ich...

Dateien auf Linux Unix Systemen suchen und löschen
Dateien auf Linux Unix Systemen suchen und löschen

Wie häufig steht man vor dem Problem das man bestimmte Dateien die man sucht auch gleich löschen will? Da das rm Kommando leider keine...

Parameter Tampering und was man darunter Versteht
Parameter Tampering und was man darunter Versteht

Parameter Tampering, Parameter Injection oder gar Parameter Manipulation? Was Verbirgt sich hinter diesem ominösen Begriff? Eine kleine Erklärung...

XSS Lücke in der Suchfunktion der Deutschen Bank
XSS Lücke in der Suchfunktion der Deutschen Bank

Wie mir gerade zu Ohren gekommen ist, hat die Deutsche Bank ein kleineres Problem auf ihrer Suchseite "http://search.deutsche-bank.de". Hier ist es...