Vor rund zwei Wochen zeigte blog.benbit.ch, dass einige (Schweizer) Banken ein Sicherheitsproblem mit ihren Webseiten haben bzw. hatten. Nun könnte man annehmen, dass die Web-Verantwortlichen anderer Firmen ihre Auftritte spätestens nach Bekanntwerden der Lücken mal wieder prüfen. Bei Swisslos scheint man das verpasst zu haben, denn auch dort lassen sich per iframe problemlos fremde Webseiten in das Layout von swisslos.ch und swisslotto.ch einschleusen und beliebig JavaScript ausführen.
- Mein Blog als iframe auf der Swisslos-Website (Screenshot [png])
- Mein Blog als iframe auf der Swisslotto-Website (Screenshot [png])
- Javascript-Ausführung bei Swisslos
- Javascript-Ausführung bei Swisslotto
Nun sind solche Möglichkeiten nicht bei allen Webauftritten gleich dramatisch. Auf der privaten Webseite einer Familie mag das nicht tragisch sein, bei Banken, Versicherungen oder eben Swisslos ist das allerdings gefährlich. Was passiert wohl, wenn die Lotterie-Phisher diese neue Möglichkeit entdecken? Immerhin hat sogar Swisslos bis vor kurzem auf ihrer Euromillions-Webseite vor genau diesen Mails gewarnt. Schöner wäre natürlich gewesen, man hätte gleichzeitig auch die eigenen Websites auf mögliche Lücken untersucht…
[Update] 19:40 Uhr
Immerhin: Bei Swisslos hat man ziemlich schnell reagiert und die Lücke geschlossen, was wohl auf mein Mail und die Nachfrage von inside-it.ch zurückzuführen ist.
Ich mag nicht mehr alle Sicherheitslücken aufzeigen. Die Web-Applicatione Security wird einfach nicht ernst genommen:
z.B. DER SPIEGEL macht es ganz einfach…
http://service.spiegel.de/digas/archiv?SC=VOLLTEXTSUCHE&msgclass=warning&msg=Na%20toll%20XSS%20mal%20ganz%20einfach.
Ja, das nimmt mich wirklich wunder, was alles hätte passieren können. Bin gerne an den möglichen Szenarien in diesem konkreten Zusammenhang interessiert.
Ich schätze, dass etwa 30% der Businesskritischen Websites neben XSS viele weitere Lücken aufweisen. Am weitesten verbreitet sind SQL-injections und natürlich ganz allgemein das Nichtvalidieren von Parametern.
Wenn man diese Lücken an Bund, Kantone und Finanzinstitiute meldet, wird das Problem meist runtergespielt oder schlicht ignoriert. Vielleicht hilft dieser Blog-Eintrag ein wenig, dass sich die Firmen mehr um Web-Security kümmern.
Und was mich immer wieder verwundert: Wer sollte eine Website sicher entwickeln, wenn es viele Web-Dienstleister versäumen? Oder habe ich vielleicht wie Bloggingtom einen zu hohen Qualitätsanspruch?
Danke für die Securityberichte, Tom. Muss allerdings sagen, dass die Erkenntnisse punkto Frame Spoofing / Cross Site Scripting nicht grad neu sind und du mit deiner Veröffentlichung indirekt Trittbrettfahrer zu Betrügereien motivierst.
Und was lernen wir draus? Die erste Sicherheitslücke ist, dass man darüber spricht. Anders gesagt: Dein Blog ist wesentlich gefährlicher als die Lücke selber… 😉 Das ist etwa dasselbe wie wenn man Securityfindings ins net postet, vielleicht kannst du dein technisches Wissen auch konstruktiver einsetzen.
@neo
Ich denke, dass vielmals publicity nötig ist, damit die Löcher _schnell_ gestopft werden, sonst besteht die Gefahr, dass diese in der Zwischenzeit für Geld unter der Hand verbreitet werden.
Und etwas hat noch nie wirklich funktioniert: security by obscurity.
UBS:
http://live.rootquest.com/archives/118-UBS-7-Sicherheitsluecken-in-7-Tagen.html