Sicherheitslücke auf der Webseite von Team-Alternate

Geschrieben in Sidetopics am July 4th, 2013
Tags: , , ,

Heute mal in einer ganz anderen Sache. Ich habe am letzen Freitag, den 28.06.2013 eine Sicherheitslücke auf der Webseite von Team-Alternate gefunden und natürlich auch sofort an den Webseitenbetreiber gemeldet. Da jetzt, genau 6 Tage nach meiner Meldung, immer noch nichts passiert ist, schreibe ich mal etwas dazu auf meinem Blog.

Was habe ich gefunden?

Gefunden habe ich eine simple XSS-Sicherheitslücke. Diese sind sehr einfach auszunutzen muss man ja nur eine Variable die auf der Seite genutzt wird bestimmte Daten mitgeben. Betroffen ist das Suchfeld auf der Webseite von Team-Alternate-Archive-Seite. In dem Suchfeld kann man einen Suchbegriff eingeben, der dann auch noch 1 zu 1 auf der Webseite wiedergegeben wird. Ein gefundenes Fressen also.

Das ganze hat aber bereits eine Vorgeschichte: Bereits letztes Jahr am 11.10.2012 habe ich eine ähnlich Lücke gefunden. Dabei ging es allerdings um das Suchformular auf der Mitgliederseite. Damals war es sogar noch einfacher als heute, so konnte man den eigenen evtl. schädlichen Inhalt einfach in der URL mitgeben. Das hat Team-Alternate jetzt abgefangen. Die Nutzung der URL-Variable funktioniert also nicht mehr.

Allerdings ist die Lücke immer noch da, wenn man die Variable ganz einfach per POST füllt. Also ist es auch heute immer noch möglich einen von mir selbst bestimmten Inhalt auf der Team-Alternate-Webseite darzustellen. Ich habe dazu mal eine kleine Demo angelegt in der man sieht wie das ganze funktioniert (Quellcode) und wie es auf der Seite von Team-Alternate dargestellt wird. Die Demo findet Ihr hier.

Was ist so schlimm daran?

Wer meine Demo sieht, wird vielleicht glauben es sei nicht so schlimm, weil ich ja ein Formular von meiner eigenen Seite absenden. Dazu kann ich nur sagen: Das Formular kann man auch automatisiert absenden. Es muss keine Aktion vom Benutzer erfolgen und dann landet der Benutzer ganz einfach auf der original Webseite von Team-Alternate die einen von mir bestimmten Inhalt hat. Das könnte ein Exploit sein oder zum Beispiel ein Phishing-Formular. Jemand, der Team-Alternate kennt und auf deren original Seite über meinen Link landet wird nicht stutzig werden, wenn dort auf einmal ein Formular mit der bitte um Zugangsdaten auftaucht. Alternate setzt seine Besucher damit also einer großen Gefahr aus und dass bewusst bereits seit 6 Tagen.

Ist die Lücke schwer zu beheben?

Nein. Das ist Sie ganz und gar nicht. Eines der Grundprinzipien der Webentwicklung habe ich einmal auf dem Botfrei-Blog beschrieben. Felder die dazu dargestellt werden, dass ein Besucher der Webseite frei Daten eingeben kann müssen entsprechend im Programmcode der diese Eingaben behandelt verarbeitet werden. In Richtung SQL-Server werden die Daten im Falle von PHP dazu mysql_escape_string entsprechend umgewandelt. Eine ähnliche Funktion gibt es aber auch für Benutzereingaben die ich auf der Webseite selbst darstellen will. Bevor man die Eingabe ausgibt wandelt man deren Inhalt (wieder ein Beispiel in PHP) einfach mit der Funktion htmlspecialchars um. Diese Funktion ist genau dazu gedacht.

Gibt jetzt ein Benutzer in dem Suchfeld Werte eine wie “<img” werden diese nicht mehr 1 zu 1 auf der Seite dargestellt und damit vom Webbrowser als HTML interpretiert sondern als “&lt;img” an den Browser weitergegeben der daraus einfach den Text “<img” macht und diesen auch als Text darstellt.

So Alternate: Jetzt seid Ihr an der Reihe. Wie lange braucht Ihr noch um diese Lücke zu schließen?

UPDATE: Nachdem ich die Sicherheitslücke am 28.06.2013 per E-Mail gemeldet hatte und danach versucht habe Alternate über Facebook zu erreichen habe ich am 07.07.2013 getwittert. Darauf reagierte Alternate und hat die Sicherheitslücke am 08.07.2013 nach ganzen 10 Tagen geschlossen.


One Response to “Sicherheitslücke auf der Webseite von Team-Alternate”

  1. Google search $foo » Blog Archive » Sicherheitslücke auf der Webseite von Team-Alternate #3 Says:

    […] Die alte Story findet Ihr in meinem Artikel: Sicherheitslücke auf der Webseite von Team-Alternate […]

Leave a Reply

Blogverzeichnis - Blog Verzeichnis bloggerei.de Blogverzeichnis