XSS Lücke in der Suchfunktion der Deutschen Bank

Image from Christiaan Colen

Wie mir gerade zu Ohren gekommen ist, hat die Deutsche Bank ein kleineres Problem auf ihrer Suchseite "http://search.deutsche-bank.de". Hier ist es möglich über Parameter-Tempering eigenen JavaScript Code einzuschleusen.

Glücklicherweise wurde darauf geachtet, die Cookie-Domain bzw. den Cookie-Path korrekt zu setzten, was das ausspähen von Benutzerdaten, oder sogar eine Sessionübernahme verhindert. Zumindest auf den ersten Block...

Allerdings kann ich auf die Schnelle nicht sagen, wie weitreichend diese Sicherheitslücke ist und welche Risiken damit verbunden sind.

Bei dem folgenden Beispiel des Parameter Tampering Angriffs, hab ich den Paramter der die Suchanfrage enthält so manipuliert, das eine JavaScript Alert Box mit dem Inhalt "Hallo World" angezeigt wird...

Hier ein kleines Beispiel für die Parameter Injection

Hoffe doch das es an der Stelle nicht noch mehr Sicherheitslücken gibt...


In this article



Most Recent

Hintergrundbeleuchtung für Laptops, die als Server laufen, ausschalten
Continue reading...

More posts

Dateien auf Linux Unix Systemen suchen und löschen
Dateien auf Linux Unix Systemen suchen und löschen

Wie häufig steht man vor dem Problem das man bestimmte Dateien die man sucht auch gleich löschen will? Da das rm Kommando leider keine...

Sicherheit im Web? Was ist denn das?
Sicherheit im Web? Was ist denn das?

Da ich täglich mit dem Internet zu tun habe, sehe ich immer und immer wieder Seiten die es mit der Sicherheit nicht so ernst nehmen. Das sind ja...

Symantec schließt VeriSign Übernahme ab
Symantec schließt VeriSign Übernahme ab

Am Montag hab ich überraschender Weise eine nette Mail vom VeriSign Support bekommen. In dieser Mail haben sie mir veröffentlicht, das sie nun zu...

Freeze für Debian 6.0
Freeze für Debian 6.0

Nach der DebConf10 gibt es eine wichtige Information, die die Release Manager Preis gegeben haben. Debain "Squeeze" has now been frozen! Von...