Abo
  • Services:

XSS-Sicherheitslücken auf zahlreichen Websites

JavaScript lässt sich über GET- oder POST-Request einschleusen

Anfang Dezember untersuchte der IT-Sicherheitsexperte Michael Krax alias "mikx" zahlreiche Websites auf Cross-Site-Scripting-Probleme (XSS). Die meisten untersuchten Websites waren in irgendeiner Art und Weise verwundbar. Jetzt veröffentlichte Krax eine Liste der gefundenen Probleme auf 175 Websites.

Artikel veröffentlicht am ,

Zwar handelt es sich dabei um keine schwerwiegende Sicherheitslücke, dennoch ist es offenbar auf vielen Websites möglich, JavaScript über einen GET- oder POST-Request einzuschleusen. Einen Proof-of-Concept liefert Krax mit, der ein JavaScript-PopUp öffnet.

Stellenmarkt
  1. Personalwerk Holding GmbH, Wiesbaden
  2. Hanseatisches Personalkontor, Großraum Frankfurt am Main

Einige der Anfang Dezember informierten Websites reagierten schnell und beseitigten die Probleme innerhalb von Stunden. Auf anderen sind die beschriebenen Sicherheitslücken noch offen. Ausgewählt wurden die Seiten mehr oder weniger per Zufall.

Weitere Details liefert Krax in einem Security Advisory.



Anzeige
Top-Angebote
  1. (u. a. Acer XB271 WQHD 144 Hz für 499€ und Kingston HyperX Cloud II für 65€)
  2. 38,90€ + Versand (Bestpreis!)
  3. (u. a. Sharkoon Skiller SGK4 für 19,99€ + Versand und Sharkoon SilentStorm Icewind Black 750 W...

c.b. 29. Dez 2004

Wenn Du so programmierst, wie Du hier schreibst, dann haben alle anderen die grösste...

d'w 23. Dez 2004

Das ist das erste, worauf ich beim Web-Programmieren achte - meistens noch vor der...

daydreamer 23. Dez 2004

Ah ja, selbst Golem war davon betroffen? Ist ja sehr beruhigend... Aber naja, heise ja...


Folgen Sie uns
       


Lenovo Thinkpad A485 - Test

Wir testen Lenovos Thinkpad A485, ein Business-Notebook mit AMDs Ryzen. Das 14-Zoll-Gerät hat eine exzellente Tastatur und den sehr nützlichen Trackpoint als Mausersatz, auch die Anschlussvielfalt gefällt uns. Leider ist das Display recht dunkel und es gibt auch gegen Aufpreis kein helleres, zudem könnte die CPU schneller und die Akkulaufzeit länger sein.

Lenovo Thinkpad A485 - Test Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

IT: Frauen, die programmieren und Bier trinken
IT
Frauen, die programmieren und Bier trinken

Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
  3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

    •  /