XSS-Sicherheitslücken auf zahlreichen Websites

JavaScript lässt sich über GET- oder POST-Request einschleusen. Anfang Dezember untersuchte der IT-Sicherheitsexperte Michael Krax alias "mikx" zahlreiche Websites auf Cross-Site-Scripting-Probleme (XSS). Die meisten untersuchten Websites waren in irgendeiner Art und Weise verwundbar. Jetzt veröffentlichte Krax eine Liste der gefundenen Probleme auf 175 Websites.

23. Dezember 2004 um 12:30 Uhr / Jens Ihlenfeld

Kommentare News folgen (öffnet im neuen Fenster)

Zwar handelt es sich dabei um keine schwerwiegende Sicherheitslücke, dennoch ist es offenbar auf vielen Websites möglich, JavaScript über einen GET- oder POST-Request einzuschleusen. Einen Proof-of-Concept liefert Krax mit, der ein JavaScript-PopUp öffnet.

Einige der Anfang Dezember informierten Websites reagierten schnell und beseitigten die Probleme innerhalb von Stunden. Auf anderen sind die beschriebenen Sicherheitslücken noch offen. Ausgewählt wurden die Seiten mehr oder weniger per Zufall.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Referatsleitung Operative IT-Planung und -Steuerung (m/w/d) VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe (öffnet im neuen Fenster)

Senior Testmanager / Testautomatisierer (w/d/m) Hyand Group, Ratingen (öffnet im neuen Fenster)

Bis zu sechs Bearbeiter/innen (m/w/d), Abteilung Mitglieder und Beitrag, Köln - BG ETEM - Berufsgenossenschaft Energie Textil Elektro Medienerzeugnisse, Köln (öffnet im neuen Fenster)

Mitarbeiter zur Unterstützung Technik Vertriebs- und Kundenkontaktprozesse mit Schwerpunkt UX Design (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

Softwareentwickler:in Centershop Korn Vertriebs Gmbh & Co. Kg, Frechen (öffnet im neuen Fenster)

SPS Programmierer / Automatisierungstechniker (m/w/d) HEGLA boraident GmbH & Co. KG, Halle (öffnet im neuen Fenster)

Junior Operator (w/m/d) in der Abteilung Broadcast- und Service-Operations-Center SWR Südwestrundfunk Anstalt des öffentlichen Rechts, Baden-Baden (öffnet im neuen Fenster)

Produktmanager App Squad (w/m/d) ING Deutschland, Nürnberg,Frankfurt am Main (öffnet im neuen Fenster)

Weitere Details liefert Krax in einem Security Advisory(öffnet im neuen Fenster) .

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

BeA: Bundesrechtsanwaltskammer stellt Zahlungen an Atos ein

Der Softwaredienstleister Atos und damit indirekt auch dessen Partner Governikus werden laut Medienberichten von der Bundesrechtsanwaltskammer nicht mehr für das Besondere elektronische Anwaltspostfach bezahlt. Die mit Sicherheitsproblemen behaftete Lösung für Anwälte soll umfassend geprüft werden.

BeA: So geht es mit dem Anwaltspostfach weiter

Darf eine Webseite erkennen, ob ein Nutzer Anwalt ist? Und braucht es eine Ende-zu-Ende-Verschlüsselung? Auf dem BeAthon hat die Bundesrechtsanwaltskammer über die Zukunft des von Sicherheitsproblemen geplagten Anwaltspostfachs BeA diskutiert - und will es bald wieder aktivieren.

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!

Für eine Stellenanzeige hat sich der Bundesnachrichtendienst etwas Besonderes ausgedacht: eine Forensik Challenge, bei der Interessierte ihre Fähigkeiten testen können. Damit Golem.de-Leser, die sich beim BND bewerben wollen, es etwas leichter haben, haben wir die Challenge gelöst.

Relevante Themen