Abo
  • IT-Karriere:

Websicherheit: Onlineshops mit nutzlosem TÜV-Siegel

Ein Siegel des TÜV Süd soll sichere Shopping-Webseiten garantieren. Ein falsches Versprechen: Wir fanden mit geringem Aufwand auf mehreren Seiten mit Safer-Shopping-Siegel - und auf der TÜV-Webseite selbst - sehr banale Sicherheitslücken.

Artikel von Hanno Böck veröffentlicht am
Eine TÜV-Plakette fürs Auto erhält man erst, wenn alle Probleme bei einem Fahrzeug behoben sind. Webshops können allerdings auch mit bekannten Sicherheitslücken ein TÜV-Siegel erhalten.
Eine TÜV-Plakette fürs Auto erhält man erst, wenn alle Probleme bei einem Fahrzeug behoben sind. Webshops können allerdings auch mit bekannten Sicherheitslücken ein TÜV-Siegel erhalten. (Bild: Mattes / Wikimedia Commons)

"Das TÜV Süd Safer-Shopping-Gütesiegel steht für mehr Sicherheit und Vertrauen in Ihrem Onlineshop." So kann man es zumindest auf der Webseite des TÜV Süd nachlesen. Mit dem Safer-Shopping-Siegel zeichnet der TÜV Süd Webseiten von Onlinehändlern aus, die eine Prüfung durchlaufen haben. Allerdings scheint es bei den Verantwortlichen an grundlegenden Kenntnissen über Web-Sicherheitslücken zu fehlen.

Inhalt:
  1. Websicherheit: Onlineshops mit nutzlosem TÜV-Siegel
  2. TÜV-Siegel trotz bekannter Sicherheitslücken

Ein Golem.de-Leser hatte uns darauf hingewiesen, dass er sowohl auf Webseiten des TÜV Rheinland als auch beim TÜV Süd relativ simple Cross-Site-Scripting-Sicherheitslücken gefunden hatte. Beide TÜV-Firmen versuchen sich auch in Sachen IT-Sicherheit: Der TÜV Rheinland führt diverse Sicherheitszertifizierungen durch und der TÜV Süd vergibt das bereits erwähnte Safer-Shopping-Siegel.

Triviale Cross-Site-Scripting-Lücke im Suchformular

Insbesondere die Lücke auf der TÜV-Süd-Webseite war geradezu trivial: Die Seite besitzt ein Suchfeld, die dort eingegebenen Begriffe werden bei den Suchresultaten wieder ausgegeben. HTML-Steuercodes und Anführungszeichen werden dabei nicht gefiltert oder als HTML-Entities codiert. Eigentlich ein absoluter Anfängerfehler. Eine detailierte Analyse der Fehler werden wir in einem späteren Artikel nachliefern.

Diese Funde veranlassten uns, die vom TÜV Süd zertifizierten Shops genauer zu überprüfen. Dort sah es in Sachen Websicherheit nicht viel besser aus. Innerhalb kurzer Zeit fanden wir ganz ähnliche Cross-Site-Scripting-Lücken im Shop von Baywa, einem Händler von Landwirtschaftsprodukten, und auf der Webseite der Deutschen Reiseversicherung. In beiden Fällen war die Ursache ähnlich: Die Eingaben im Suchfeld wurden ohne Filterung oder Escaping zurückgegeben.

Stellenmarkt
  1. Horváth & Partners Management Consultants, Stuttgart
  2. Wirecard Issuing Technologies GmbH, Aschheim/München

Eine solche Lücke in einem Webshop könnte ein Angreifer dazu nutzen, die Kontrolle über den Account eines Nutzers zu erlangen. Dafür muss lediglich dafür gesorgt sein, dass der Nutzer zeitgleich eine vom Angreifer kontrollierte Webseite aufruft.

Baywa bestreitet Schwachstelle zunächst

Baywa bestritt auf Anfrage zunächst, dass die Sicherheitslücke ausnutzbar sei - obwohl wir Beispielcode mitgeschickt hatten: "Die von Ihnen angesprochene vermeintliche 'Schwachstelle' stellt nach unserem derzeitigen Kenntnisstand aufgrund bereits vorhandener Filtermechanismen keine effektiv ausnutzbare Sicherheitslücke dar." Einige Stunden später hatte man es sich aber offenbar anders überlegt: "Die Baywa hat in der besagten Angelegenheit ein entsprechendes Sicherheitsupdate installiert, um auch eventuell damit in Zusammenhang stehenden Risiken vorzubeugen."

Bei der Deutschen Reiseversicherung bestätigte man unseren Fund. "Die von Ihnen angesprochene Cross-Site-Scripting-Lücke besteht in der Tat. Sie wurde im Rahmen des aktuellen TÜV-Audit entsprechend identifiziert", erklärte eine Sprecherin der Reiseversicherung in einer E-Mail. "Der TÜV hat uns ein begrenztes Zeitfenster avisiert, um diese Lücke zu beheben, und dieses werden wir einhalten."

TÜV-Siegel trotz bekannter Sicherheitslücken 
  1. 1
  2. 2
  3.  
Zu den Kommentaren springen
Meistgelesen
  1. e.Go Life
    Ein Auto, das lächelt
  2. US-Blacklist
    Google gibt Huawei offenbar keine Android-Updates mehr
  3. DeskMini A300 im Test
    Asrocks 2-Liter-Ryzen-Barebone überzeugt
  4. Augmented Reality
    Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  5. Bug Bounty Hunter
    Mit "Hacker 101"-Tutorials zum Millionär
Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 259€ + Versand oder kostenlose Marktabholung (aktuell günstigste GTX 1070 Mini)
  4. 177,90€ + Versand (Bestpreis!)
Kommentarübersicht
schon klar dass es nicht um die Webshop...
meinoriginaluse... 28. Okt 2018

Ich gehe davon aus, dass jedes Shopping-Sigel die Geschäftsprozesse des Shops prüft...

Re: Wir sollten uns ein paar französische Richter...
arthurdont 27. Okt 2018

Jeder, der einen PKW hat, weiß, was er von der "Marke" TÜV zu halten hat. Aber...

Re: Das ist keine TÜV-Plakette auf dem Bild...
Eheran 27. Okt 2018

Wo soll denn der Gag sein? Diese Online-Plakette hat genau die gleichen Mankos wie die...

XSS im formular macht keinen Sinn
rocket_to_russia 26. Okt 2018

Um ein XSS Lücke auszunutzen, muss jemand dazu gebracht werden diese Seite zu besuchen...

Re: warum haftet der TÜV eigentlich nicht?
User_x 26. Okt 2018

Die haften schon, nur es denen nachweisen wird schwierig.

Folgen Sie uns
       
Days Gone - Fazit

In Days Gone sind wir als Rocker Deacon St. John im zerstörten Oregon unterwegs und erleben das ganz große Abenteuer.

Days Gone - Fazit Video aufrufen
Edge
Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  2. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge
  3. Microsoft-Browser Edge bekommt Chromium-Herz
Motorola
Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie
Schiff
Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /