IT-Security: Kaffeepause und 90+ aufgedeckte Schwachstellen

Gestern hatte ich einen kleinen Lauf in meiner Kaffeepause zur Mittagszeit. Ich habe mich vor 2 Tagen bei XSSPOSED.org angemeldet, um auch dort zur Sicherheit im Netz beitragen und entsprechende Schwachstellen melden zu können. Gestern habe ich mir dann mal – wie so oft – eine Kaffeepause gegönnt und bin auf die „Jagd“ gegangen, um das Portal bei XSSPOSED.org gleich mal ein wenig zu befüllen. Vorrangig ging es mir um XSS-Schwachstellen in Webanwendungen. Die Ausbeute war beträchtlich…

Innerhalb von etwa einer Stunde, konnte ich über 100 Sicherheitslücken auf mehr als 90 verschiedenen Websites aufdecken. Dabei habe ich mich wie erwähnt fast ausschließlich auf XSS-Schwachstellen konzentriert und speziell auf diese Angriffsart Tests durchgeführt. Interessant war, dass unter allen Schwachstellen auch bedeutende Größen im Netz dabei waren. Darunter wichtige Adressen, wie zum Beispiel der Update-Server von SugarCRM, einige Anbieter von SMS-Diensten, Telefonanbieter, diverse Wetterdienste – unter anderen auch der „National Weather Service“ der USA – und auch mehrere Onlineshops, Zahlungsdienste, Broker und andere Seiten, wie beispielsweise das wohl bekannteste und größte Portal zum Thema Investment „Investing.com“.

Eine Übersicht aller aufgedeckten Schwachstellen bzw. aller betroffenen Portale, gibt es direkt im Profil bei XSSPOSED.org (zum Profil sToRm). Erste Reaktionen der Betreiber gab es bereits. Sollten auch Sie von einer Schwachstelle betroffen sein, die durch mich aufgedeckt wurde, können Sie selbstverständlich gerne Kontakt mit mir aufnehmen und entsprechende Details erfahren.