Sicherheitslücke auf der Webseite von Team-Alternate #3

Geschrieben in Uncategorized am August 22nd, 2013
Tags: , , ,

UPDATE: Heute am 27.08.2013 nach also ganzen 11 Tagen ist die Sicherheitslücke behoben.

Es ist mal wieder Soweit. Nachdem ich am 11.10.2012 das erste und am 28.06.2013 das zweite mal eine XSS-Lücke auf der Webseite von Team-Alternate gefunden habe, kommt hier nun die 3. Um vielleicht nochmal klar zustellen warum ich auf der Webseite von Team-Alternate war: Ich bin jedes mal auf die Webseite gegangen weil diese im Zusammenhang mit eSports erwähnt wurde. 2012 war das der Fall, weil ein Spieler von Team-Alternate (unso) Werbung gemacht hat und die beiden anderen Male weil carni (ein ESL-Moderator) auf Twitter etwas von der Seite verlinkt hatte.

Die alte Story?

Die alte Story findet Ihr in meinem Artikel: Sicherheitslücke auf der Webseite von Team-Alternate

Die ganze Story

  • 11.10.2012: Ich Melde das erste Mal die XSS-Lücke auf eurer Webseite. Betroffen war hier die Mitgliedersuche und die Variable “nick” per GET
  • 12.10.2012: Die Lücke wurde behoben.
  • 28.06.2013:Wieder bin ich direkt auf eine Lücke gestoßen: XSS, Variable criteria, Methode POST. Dennoch die selbe Lücke, denn es wird wieder einfach eine Benutzereingabe im Frontend 1zu1 ausgegeben.
  • 08.07.2013: Die Sicherheitslücke wurde gelöst und zwar nach ganzen 10 Tagen. Meiner Meinung nach etwas lange. Reagiert hat man damals erst auf meinen Tweet: https://twitter.com/googlesearchfoo/status/353927677545152513
  • 15.08.2013: Wieder eine Sicherheitslücke. XSS, Variable typ, Methode POST. https://twitter.com/googlesearchfoo/status/367971690052976640 Es handelt sich um die exakt gleiche Sicherheitslücke.
  • 21.08.2013: Heute versende ich das ganze nochmal als E-Mail, weil sich bisher leider bei euch noch nichts getan. Und das nach mehr als 5 Tagen. Leider kam ein Auto-Responder zurück :/
  • 27.08.2013: Die Sicherheitslücke wurde gelöst und zwar nach ganzen 11 Tagen.

Was stört am meisten daran?

Was mich am meisten an der ganzen Sache stört ist die Bearbeitungszeit und die Reaktion. Beim ersten mal wurde die Sicherheitslücke ja relativ schnell gelöst, doch im 2. Fall ist die Bearbeitungszeit meiner Meinung nach einfach zu lang. Außerdem finde ich die Nachhaltigkeit auch ziemlich schlecht. Warum prüft man als Webentwickler zumindest nach der 2. Meldung nicht einmal selbst die gesamte Seite? Es gibt ja das ein oder andere Tool mit dem man dieses Lücke auch leicht gefunden hätte. Zum Beispiel Skipfish.

Ich behaupte mal, dass Webseiten von eSport-Teams als relativ technik-nahe gesehen werden können und finde es daher noch mehr enttäuschend, dass so schlecht auf Sicherheitsmeldungen reagiert wird. Das zieht den Ruf dieses Bereiches einfach runter.

Was ist denn jetzt überhaupt los?

Wie Ihr oben an meiner “Timeline” erkennen könnt handelt es sich wiedermal um eine XSS-Sicherheitslücke. Im Prinzip ist das immer noch das gleiche Problem wie bereits 2012, nur das jetzt eine andere Variable verwendet wird. In der Variablen typ kann man also HTML-Code oder auch JavaScript-Code mitgeben, der einfach innerhalb der Webseite von Team-Alternate ausgeführt wird. So ist es möglich wie in meinem Beispiel zu sehen die Webseite von Team-Alternate sehr einfach zu manipulieren.


Leave a Reply

Blogverzeichnis - Blog Verzeichnis bloggerei.de Blogverzeichnis