Registrieren

Warum registrieren?

XSS-Lücken bei StudiVZ und 1 & 1

25.01.2008

In der Community-Plattform StudiVZ wurde eine Sicherheitslücke entdeckt, die es eventuell möglich gemacht hat, per Cross-Site-Scripting (XSS) an die Zugangsdaten von Benutzern zu kommen. Das Login-Formular, bei dem Besucher Nutzername und Passwort eingeben, war nicht ausreichend mit Filtern gegen die Eingabe von JavaScript geschützt. Ein potenzieller Phishing-Angreifer hätte Nutzer mittels eines präparierten Links auf die Seite locken müssen, um dann dort Nutzername und Passwort auszulesen. Die Lücke, die sich auch im Login-Formular des SchülerVZ befand, wurde inzwischen laut eigenen Angaben von den Betreibern geschlossen.

Zwar nicht im Login-Formular, aber im Webmailer befand sich eine Sicherheitslücke bei 1 & 1. Dabei war es möglich, JavaScript zur Ausführung zu bringen, das in der Benutzeroberfläche per Adresszeile des Browsers übergeben wird. Ein Angreifer hätte somit z.B. den Login-Cookie des Benutzers kopieren können. Laut 1 & 1 wurde die Sicherheitslücke inzwischen geschlossen, außerdem soll in den nächsten Wochen ein ausführlicher Sicherheitscheck für die Webmail-Funktionalitäten durchgeführt werden.

Autor: sh


Einloggen