Abo
  • Services:

Verwundbar für simple Cross-Site-Scripting-Lücke

Eine weitere Sicherheitslücke zeigte Markus Drenger in einem kurzen Video. Auf der Startseite der Anwendung - die natürlich zurzeit offline ist - gibt es einen URL-Parameter "dswid". Dieser war für einen trivialen Cross-Site-Scripting-Angriff anfällig. Man konnte schlicht in die URL entsprechenden Javascript-Code einfügen, der direkt ausgeführt wurde.

Stellenmarkt
  1. SWP Stadtwerke Pforzheim GmbH & Co. KG, Pforzheim
  2. über experteer GmbH, deutschlandweit (Home-Office möglich)

Damit hätte ein Angreifer, der einen Nutzer der Anwendung auf eine bösartige Seite lockt, jederzeit die komplette Kontrolle über die Webanwendung übernehmen können.

An dieser Lücke ist vor allem bemerkenswert, wie trivial sie zu finden war. Eine Suche nach Cross-Site-Scripting-Lücken in Variablen gehört üblicherweise zum Ersten, was man ausprobiert, wenn man die Sicherheit einer Webseite beurteilt.

Veraltete Software

Die lokale BeA-Software ist in Java geschrieben und nutzt eine ganze Reihe von externen Libraries. Einige davon sind uralt und haben bekannte Sicherheitslücken. So wird beispielsweise die Bibliothek log4j in Verison 1.2.17 eingesetzt. Laut der Projektwebseite wird der gesamte Versionszweig 1 seit Oktober 2015 nicht mehr unterstützt. Einige der anderen Bibliotheken sind laut Felix Rohrbach älter als das gesamte BeA-Projekt.

Auch auf dem Server nimmt man es bei BeA offenbar mit aktueller Software nicht so genau. Der Host bea-brak.de ist für die ROBOT-Sicherheitslücke in TLS anfällig. Es handelt sich dabei vermutlich um ein Netscaler-Gerät von Citrix, für das die jüngsten Sicherheitsupdates noch nicht installiert wurden.

Interessant ist in diesem Zusammenhang auch die Dokumentation von BeA. In der Liste der unterstützen Betriebssysteme findet man ausschließlich nicht mehr aktuelle Versionen. An Linuxsystemen wird offiziell nur OpenSUSE 13.2 unterstützt - dessen Support endete im Januar 2017. Windows wird demnach von Vista bis 8.1 unterstützt, Windows 10 findet man nicht, und auch von OS X wird nur die schon etwas ältere Version El Capitan unterstützt.

Weitere Probleme verweisen auf wenig Sicherheitsbewusstsein

Eine ganze Reihe von kleineren Problemen, die für sich genommen keine großen Sicherheitslücken darstellen, lassen zumindest Zweifel daran aufkommen, wie ernst man es bei der Entwicklung von BeA mit der Sicherheit genommen hat.

Neben der BeA-Webanwendung gibt es eine Informationsseite der Bundesrechtsanwaltskammer unter bea.brak.de - und die ist nur mittels unsicherer HTTP-Verbindungen erreichbar. Damit sind SSL-Stripping-Angriffe denkbar, da sicher viele Anwender zunächst diese Informationsseite aufrufen und sich von dort zum BeA-Login durchklicken. Auch die HTTPS-Konfiguration der eigentlichen BeA-Webanwendung ist nicht optimal, so kommt beispielsweise kein HSTS zum Einsatz.

Auf dem eigentlichen BeA-Server kann man mittels spezieller URLs Meldungen erhalten, die einem verraten, mit welchen Filterregeln diese gerade blockiert wurden. Auf der dort angezeigten Seite wird man an eine Helpdesk-Mailadresse und Telefonnummer verwiesen, diese sind jedoch nur Platzhalter.

 BeA: Noch mehr Sicherheitslücken im AnwaltspostfachHat SEC Consult all das übersehen? 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. (u. a. ROG Rapture GT-AC5300 + Black Ops 4 für 303,20€ + Versand statt 345€ im Vergleich, RT...
  2. 79,90€ + Versand (Bestpreis!)
  3. (u. a. GTA V für 16,82€ und The Elder Scrolls Online: Morrowind für 8,99€)
  4. 284,90€ statt über 320€ im Vergleich (+ 50€ Rabatt bei 0%-Finanzierung und Gutschein: NAS-50)

intnotnull12 06. Jan 2018

Genau so schauts aus. Auf eine perverse Art hat Atos nämlich alles richtig gemacht und...

Sharra 05. Jan 2018

Davon abgesehen, dass De-Mail eigentlich ein Flopp sondergleichen ist, funktioniert es...

tingelchen 05. Jan 2018

Finde auch, der Name passt perfekt :D

tingelchen 05. Jan 2018

Die Audits an den Zertifizierungsstellen sind oft der letzte Mist. Mich würde es nicht...

Anonymer Nutzer 05. Jan 2018

Die BRAK ist die eigene, berufsständische Organisation der deutschen Anwaltschaft. Bea...


Folgen Sie uns
       


Shadow of the Tomb Raider - Golem.de live Teil 2

In Teil 2 des Livestreams zu Shadow of the Tomb Raider finden wir lustige Grafikfehler und der Chat trinkt zu viel Bier, kann Michael aber trotzdem bei einigen Rätseln helfen.

Shadow of the Tomb Raider - Golem.de live Teil 2 Video aufrufen
Zahlen mit Smartphones im Alltagstest: Sparkassenkunden müssen nicht auf Google Pay neidisch sein
Zahlen mit Smartphones im Alltagstest
Sparkassenkunden müssen nicht auf Google Pay neidisch sein

In Deutschland gibt es mittlerweile mehrere Möglichkeiten, drahtlos mit dem Smartphone zu bezahlen. Wir haben Google Pay mit der Sparkassen-App Mobiles Bezahlen verglichen und festgestellt: In der Handhabung gleichen sich die Apps zwar, doch in den Details gibt es einige Unterschiede.
Ein Test von Tobias Költzsch

  1. Smartphone Auch Volksbanken führen mobiles Bezahlen ein
  2. Bezahldienst ausprobiert Google Pay startet in Deutschland mit vier Finanzdiensten

Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

Yara Birkeland: Autonome Schiffe sind eine neue Art von Transportsystem
Yara Birkeland
Autonome Schiffe sind eine neue Art von Transportsystem

Die Yara Birkeland wird das erste elektrisch angetriebene Schiff, das autonom fahren soll. Das ist aber nicht das einzige Ungewöhnliche daran. Diese Schiffe seien ein ganz neues Transportmittel, das nicht nur von den üblichen Akteuren eingesetzt werde, sagt ein Experte.
Ein Interview von Werner Pluta

  1. Power Pac Strom aus dem Container für Ozeanriesen
  2. Yara Birkeland Norwegische Werft baut den ersten autonomen E-Frachter
  3. SAVe Energy Rolls-Royce bringt Akku zur Elektrifizierung von Schiffen

    •  /