XXS-Lücke auf Bundesregierung.de

Die offizielle Website der deutschen Bundesregierung weist eine Schwachstelle auf, über die sich mit Hilfe manipulierter Links beliebige Inhalte ins Seitenlayout einbetten lassen.

Marcell Dietl, der Entdecker dieser Cross-Site-Scripting-Schwachstelle (XSS), hat in seinem Blog Beispiel-Links gepostet, die nach einem Klick durch den Anwender die Regierungsseite beispielsweise mit einem Bild des Schauspielers Sylvester Stallone öffnen.

Der Programmierfehler liegt offenbar in einem Skript der Funktion „Seite empfehlen“, das Daten aus der URL ungefiltert in den Quellcode der erzeugten Webseite übernimmt. Die Empfehlungsfunktion bietet Webseitenbesuchern die Möglichkeit, Bekannte per E-Mail auf Inhalte der Bundesregierungs-Website aufmerksam zu machen. Im jetzigen Zustand bietet sie allerdings auch Angreifern einen Weg, ahnungslose Opfer im Namen der Bundesregierung beispielsweise nach persönlichen Daten auszufragen, mit Phantasie-Pressemeldungen zu verwirren oder mit beliebigem JavaScript-Code zu schaden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.