Abo
  • Services:

XSS: Wie kann man so eine triviale Lücke übersehen?

Nur kurz ging Markus Drenger vom CCC auf die von ihm gefundene Cross-Site-Scripting-Lücke (XSS) ein. In der BeA-Webanwendung gab es einen einzigen URL-Parameter, und über diesen war es möglich, Javascript auszuführen. Die Zeichenzahl war dabei auf zehn Zeichen begrenzt. Damit wäre es relativ schwierig, diese Lücke praktisch auszunutzen.

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Nürnberg
  2. next.motion OHG, Leipzig, Gera

Bemerkenswert an dieser Lücke ist vor allem, wie einfach sie zu finden war. Für das BeA wurden in der Vergangenheit nach Angaben der Brak zwei Sicherheitsgutachten durchgeführt, eines von der Firma SEC Consult, ein weiteres von Atos selber. Beide Prüfberichte werden bisher geheim gehalten. Der Autor dieses Texts versucht zurzeit, mittels Informationsfreiheitsgesetz Einblick in diese Gutachten zu erhalten.

Die Suche nach solch trivialen XSS-Lücken gehört in aller Regel zu den ersten Punkten, die bei einer Webanwendung geprüft werden. Es ist kaum nachvollziehbar, wie das Sicherheitsaudit dieses Problem übersehen konnte.

Jeder kann als Amtsgericht Berlin Mitte Nachrichten verschicken

Ein weiteres Problem beschrieb Drenger in der Anbindung von BeA an das Elektronische Gerichts- und Verwaltungspostfach (EGVP). Dort kann sich jeder einen Account anlegen und Nachrichten an BeA-Nutzer schicken.

Laut Drenger ist es auf der Oberfläche insbesondere für unbedarfte Anwender nur schwer erkennbar, ob es sich bei Nachrichten um solche aus dem BeA-System oder um Nachrichten von EGVP handelt.

Somit könnte jemand im EGVP einen Account anlegen und einen beliebigen Namen wählen, um einem Anwalt vorzugaukeln, er wäre jemand anderes. Anders ausgedrückt: Jeder könnte eine Nachricht mit einem Absender wie "Amtsgericht Berlin Mitte" verschicken - und einen Anwalt damit dazu bewegen, geheime Daten an unberechtigte Personen zu schicken.

Drenger empfahl, die Unterschiede deutlicher sichtbar zu machen und beispielsweise farblich hervorzuheben, ob es sich um einen verifizierten Absender aus dem BeA-System handelt.

EGVP: Accounts löschen ohne Rückfrage

Zum EGVP hatte Drenger noch eine weitere Information. Demnach ist es dort möglich, die Löschung eines verwaisten Accounts zu beantragen. In einem Versuch mit Zustimmung des Kontoinhabers gelang es Drenger hierbei, ein Nutzerkonto zu löschen, ohne dass irgendeine Rückfrage beim Inhaber erfolgte.

Weitere Probleme sah Drenger darin, dass über das BeA beliebige Dateiformate verschickt werden können. Da Anwälte verpflichtet sind, die über BeA zugeschickten Dokumente zu öffnen, stellt sich die Frage, was passiert, wenn sie eine EXE-Datei oder ein anderes Format erhalten, das ausführbaren Code enthalten kann. Denkbar wäre, Dateianhänge auf bestimmte eingeschränkte Formate - beispielsweise PDF/A - zu beschränken.

Meldung von Lücken in OCSI führten zu juristischen Drohungen

Das BeA-System baut auf dem Standard OSCI auf. Auch damit gibt es offenbar weitere Probleme. Eine Person hat demnach vor über einem Jahr eine Sicherheitslücke in OSCI gemeldet. Statt eines Danks wurde ihr daraufhin von einer verantwortlichen Stelle mit Klage gedroht - woraufhin der Hinweisgeber darauf verzichtete, weitere Sicherheitslücken zu melden.

Details zu diesem Vorgang blieben im Unklaren, aber offenbar ist der Hinweisgeber inzwischen im Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und es wird versucht, die Lücke zu schließen.

 Exploit mittels Java-DeserialisierungDie Key Custodians können BeA-Nachrichten knacken 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. 359,99€ (Vergleichspreis ab 437,83€)
  2. (-88%) 2,49€
  3. (-77%) 11,49€
  4. 55,11€ (Bestpreis!)

Folgen Sie uns
       


Alstom E-Bus Prototyp in Berlin - Bericht

Der Alstom Aptis kann mit beiden Achsen lenken und ist deshalb besonders wendig. Wir sind in Berlin eine Runde mit dem Elektrobus gefahren.

Alstom E-Bus Prototyp in Berlin - Bericht Video aufrufen
P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Crimson Canyon Intel plant weiteren Mini-PC mit Radeon-Grafik
  2. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  3. NUC8 Intels Mini-PC hat mächtig viel Leistung

Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

    •  /