Abo
  • Services:

Verwundbar für simple Cross-Site-Scripting-Lücke

Eine weitere Sicherheitslücke zeigte Markus Drenger in einem kurzen Video. Auf der Startseite der Anwendung - die natürlich zurzeit offline ist - gibt es einen URL-Parameter "dswid". Dieser war für einen trivialen Cross-Site-Scripting-Angriff anfällig. Man konnte schlicht in die URL entsprechenden Javascript-Code einfügen, der direkt ausgeführt wurde.

Stellenmarkt
  1. Universität Konstanz, Konstanz
  2. MailStore Software GmbH, Viersen

Damit hätte ein Angreifer, der einen Nutzer der Anwendung auf eine bösartige Seite lockt, jederzeit die komplette Kontrolle über die Webanwendung übernehmen können.

An dieser Lücke ist vor allem bemerkenswert, wie trivial sie zu finden war. Eine Suche nach Cross-Site-Scripting-Lücken in Variablen gehört üblicherweise zum Ersten, was man ausprobiert, wenn man die Sicherheit einer Webseite beurteilt.

Veraltete Software

Die lokale BeA-Software ist in Java geschrieben und nutzt eine ganze Reihe von externen Libraries. Einige davon sind uralt und haben bekannte Sicherheitslücken. So wird beispielsweise die Bibliothek log4j in Verison 1.2.17 eingesetzt. Laut der Projektwebseite wird der gesamte Versionszweig 1 seit Oktober 2015 nicht mehr unterstützt. Einige der anderen Bibliotheken sind laut Felix Rohrbach älter als das gesamte BeA-Projekt.

Auch auf dem Server nimmt man es bei BeA offenbar mit aktueller Software nicht so genau. Der Host bea-brak.de ist für die ROBOT-Sicherheitslücke in TLS anfällig. Es handelt sich dabei vermutlich um ein Netscaler-Gerät von Citrix, für das die jüngsten Sicherheitsupdates noch nicht installiert wurden.

Interessant ist in diesem Zusammenhang auch die Dokumentation von BeA. In der Liste der unterstützen Betriebssysteme findet man ausschließlich nicht mehr aktuelle Versionen. An Linuxsystemen wird offiziell nur OpenSUSE 13.2 unterstützt - dessen Support endete im Januar 2017. Windows wird demnach von Vista bis 8.1 unterstützt, Windows 10 findet man nicht, und auch von OS X wird nur die schon etwas ältere Version El Capitan unterstützt.

Weitere Probleme verweisen auf wenig Sicherheitsbewusstsein

Eine ganze Reihe von kleineren Problemen, die für sich genommen keine großen Sicherheitslücken darstellen, lassen zumindest Zweifel daran aufkommen, wie ernst man es bei der Entwicklung von BeA mit der Sicherheit genommen hat.

Neben der BeA-Webanwendung gibt es eine Informationsseite der Bundesrechtsanwaltskammer unter bea.brak.de - und die ist nur mittels unsicherer HTTP-Verbindungen erreichbar. Damit sind SSL-Stripping-Angriffe denkbar, da sicher viele Anwender zunächst diese Informationsseite aufrufen und sich von dort zum BeA-Login durchklicken. Auch die HTTPS-Konfiguration der eigentlichen BeA-Webanwendung ist nicht optimal, so kommt beispielsweise kein HSTS zum Einsatz.

Auf dem eigentlichen BeA-Server kann man mittels spezieller URLs Meldungen erhalten, die einem verraten, mit welchen Filterregeln diese gerade blockiert wurden. Auf der dort angezeigten Seite wird man an eine Helpdesk-Mailadresse und Telefonnummer verwiesen, diese sind jedoch nur Platzhalter.

 BeA: Noch mehr Sicherheitslücken im AnwaltspostfachHat SEC Consult all das übersehen? 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. (2 Monate Sky Ticket für nur 4,99€)

intnotnull12 06. Jan 2018

Genau so schauts aus. Auf eine perverse Art hat Atos nämlich alles richtig gemacht und...

Sharra 05. Jan 2018

Davon abgesehen, dass De-Mail eigentlich ein Flopp sondergleichen ist, funktioniert es...

tingelchen 05. Jan 2018

Finde auch, der Name passt perfekt :D

tingelchen 05. Jan 2018

Die Audits an den Zertifizierungsstellen sind oft der letzte Mist. Mich würde es nicht...

Anonymer Nutzer 05. Jan 2018

Die BRAK ist die eigene, berufsständische Organisation der deutschen Anwaltschaft. Bea...


Folgen Sie uns
       


Ark Survival Evolved für Smartphones - angespielt

Wir spielen Ark Survival Evolved auf einem Google Pixel 2.

Ark Survival Evolved für Smartphones - angespielt Video aufrufen
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Ingolstadt Flugtaxis sollen in Deutschland erprobt werden
  2. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  3. Cityairbus Mit Siemens soll das Lufttaxi abheben

CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner


    IT-Jobs: Fünf neue Mitarbeiter in fünf Wochen?
    IT-Jobs
    Fünf neue Mitarbeiter in fünf Wochen?

    Startups müssen oft kurzfristig viele Stellen besetzen. Wir waren bei dem Berliner Unternehmen Next Big Thing dabei, als es auf einen Schlag Bewerber für fünf Jobs suchte.
    Ein Bericht von Juliane Gringer

    1. Frauen in IT-Berufen Programmierte Klischees
    2. Bitkom Research Höherer Frauenanteil in der deutschen IT-Branche
    3. Recruiting IT-Experten brauchen harte Fakten

      •  /