Hacking Extrem – „Heise Security“ demonstriert Cross-Site-Scripting [Update]
Ich bin mal hier ganz sprachlos. Und irgendwie auch belustigt. meingottundmeinewelt.de hat sich mal die Anmeldeseite von „Hacking Extrem – Web-Applikationen“ der iX etwas genauer angeschaut. Immerhin kann man sich hier für ein Tutorial zur Websicherheit anmelden, für läppische 3000 Euro. Muss gut sein!
Was er dort fand, war ein Paradebeispiel von Site-Defacement mit Hilfe eines einfachen Cross-Site-Scripting-Angriffs. Durch die einfache Änderung eines öffentlichen GET-Parameters, kann die Überschrift des Anmeldeformulars beliebig geändert werden!
Auch bei mir der Beweis, solange das geht ;)
Weitere Details gibt es auf meingottundmeinewelt.de.
[UPDATE]
Heise hatte zumindest schon einmal ein XSS-Problem. Laut dem Entdecker morph3us.org blieb damals die Lücke über ein halbes Jahr lang bestehen.
Ich fand es lustig das gerade von Heise, die anderen gerne Fehler unter die Nase reiben, solch ein Fehler gemacht wird und dann auch noch bei dem Thema. Da es bei cirosec um „(Advanced)Cross Site Scripting“ geht, können die Jungs und Mädels von Heise evtl. auch noch etwas lernen, die bekommen bestimmt einen Rabatt. ;O)