Abo
  • Services:

Verwundbar für simple Cross-Site-Scripting-Lücke

Eine weitere Sicherheitslücke zeigte Markus Drenger in einem kurzen Video. Auf der Startseite der Anwendung - die natürlich zurzeit offline ist - gibt es einen URL-Parameter "dswid". Dieser war für einen trivialen Cross-Site-Scripting-Angriff anfällig. Man konnte schlicht in die URL entsprechenden Javascript-Code einfügen, der direkt ausgeführt wurde.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Damit hätte ein Angreifer, der einen Nutzer der Anwendung auf eine bösartige Seite lockt, jederzeit die komplette Kontrolle über die Webanwendung übernehmen können.

An dieser Lücke ist vor allem bemerkenswert, wie trivial sie zu finden war. Eine Suche nach Cross-Site-Scripting-Lücken in Variablen gehört üblicherweise zum Ersten, was man ausprobiert, wenn man die Sicherheit einer Webseite beurteilt.

Veraltete Software

Die lokale BeA-Software ist in Java geschrieben und nutzt eine ganze Reihe von externen Libraries. Einige davon sind uralt und haben bekannte Sicherheitslücken. So wird beispielsweise die Bibliothek log4j in Verison 1.2.17 eingesetzt. Laut der Projektwebseite wird der gesamte Versionszweig 1 seit Oktober 2015 nicht mehr unterstützt. Einige der anderen Bibliotheken sind laut Felix Rohrbach älter als das gesamte BeA-Projekt.

Auch auf dem Server nimmt man es bei BeA offenbar mit aktueller Software nicht so genau. Der Host bea-brak.de ist für die ROBOT-Sicherheitslücke in TLS anfällig. Es handelt sich dabei vermutlich um ein Netscaler-Gerät von Citrix, für das die jüngsten Sicherheitsupdates noch nicht installiert wurden.

Interessant ist in diesem Zusammenhang auch die Dokumentation von BeA. In der Liste der unterstützen Betriebssysteme findet man ausschließlich nicht mehr aktuelle Versionen. An Linuxsystemen wird offiziell nur OpenSUSE 13.2 unterstützt - dessen Support endete im Januar 2017. Windows wird demnach von Vista bis 8.1 unterstützt, Windows 10 findet man nicht, und auch von OS X wird nur die schon etwas ältere Version El Capitan unterstützt.

Weitere Probleme verweisen auf wenig Sicherheitsbewusstsein

Eine ganze Reihe von kleineren Problemen, die für sich genommen keine großen Sicherheitslücken darstellen, lassen zumindest Zweifel daran aufkommen, wie ernst man es bei der Entwicklung von BeA mit der Sicherheit genommen hat.

Neben der BeA-Webanwendung gibt es eine Informationsseite der Bundesrechtsanwaltskammer unter bea.brak.de - und die ist nur mittels unsicherer HTTP-Verbindungen erreichbar. Damit sind SSL-Stripping-Angriffe denkbar, da sicher viele Anwender zunächst diese Informationsseite aufrufen und sich von dort zum BeA-Login durchklicken. Auch die HTTPS-Konfiguration der eigentlichen BeA-Webanwendung ist nicht optimal, so kommt beispielsweise kein HSTS zum Einsatz.

Auf dem eigentlichen BeA-Server kann man mittels spezieller URLs Meldungen erhalten, die einem verraten, mit welchen Filterregeln diese gerade blockiert wurden. Auf der dort angezeigten Seite wird man an eine Helpdesk-Mailadresse und Telefonnummer verwiesen, diese sind jedoch nur Platzhalter.

 BeA: Noch mehr Sicherheitslücken im AnwaltspostfachHat SEC Consult all das übersehen? 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote

intnotnull12 06. Jan 2018

Genau so schauts aus. Auf eine perverse Art hat Atos nämlich alles richtig gemacht und...

Sharra 05. Jan 2018

Davon abgesehen, dass De-Mail eigentlich ein Flopp sondergleichen ist, funktioniert es...

tingelchen 05. Jan 2018

Finde auch, der Name passt perfekt :D

tingelchen 05. Jan 2018

Die Audits an den Zertifizierungsstellen sind oft der letzte Mist. Mich würde es nicht...

Anonymer Nutzer 05. Jan 2018

Die BRAK ist die eigene, berufsständische Organisation der deutschen Anwaltschaft. Bea...


Folgen Sie uns
       


Amazons Echo Sub im Test

Mit dem Echo Sub lassen sich Echo-Lautsprecher mit Tiefbass nachrüsten. Die Echo-Lautsprecher sind allerdings im Mittenbereich vergleichsweise schwach, so dass das Klangbild entsprechend leidet. Sobald zwei Echo-Lautsprecher miteinander verbunden sind, gibt es enorm viele Probleme: Die Echo-Geräte reagieren langsamer, es gibt Zeitverzögerungen der einzelnen Lautsprecher und das Spulen in Musik ist nicht mehr möglich. Wie dokumentieren die Probleme im Video.

Amazons Echo Sub im Test Video aufrufen
Smartphone-Kaufberatung: Viel Smartphone für wenig Geld
Smartphone-Kaufberatung
Viel Smartphone für wenig Geld

Auch zum diesjährigen Weihnachtsfest verschenken sicher viele Menschen Smartphones - oder wünschen sich selbst eins. Der Markt ist so groß wie unüberschaubar. Wir haben 2018 viele getestet und geben Empfehlungen für Geräte unter 300 Euro.
Von Tobias Költzsch

  1. Vivo Nex Dual Screen Vivo stellt Smartphone mit zwei Displays vor
  2. Smartphone-Kaufberatung Mehr Smartphone für mehr Geld
  3. CDU-Generalsekretärin Alle Behördengänge sollen am Smartphone erfolgen können

Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
    Resident Evil 2 angespielt
    Neuer Horror mit altbekannten Helden

    Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
    Von Peter Steinlechner

    1. Resident Evil Monster und Mafia werden neu aufgelegt

      •  /