Vor ca einem Monat hatte ich auf heise.de nach potentiellen Lücken gefahndet und wurde wenig später auf www.heisetreff.de fündig. Heisetreff ist eine Art Kleinanzeigenmarkt der noch weiteren Umfang bietet, Eventkalender usw.
Es befanden sich über 6 XSS Lücken auf der Seite. “Persistent” sowie “Reflected”. Da sieht man wieder das selbst Seiten wie heise nicht vor solchen Fehlern geschützt sind, auch wenn heise.de/Security immer über Fehler dieser Art auf anderen Seiten hinweist (hier sind die negativen Hinweise gemeint 
) und manchmal auch gespottet wird 
Fatal waren die persistenten Lücken auf der Profilseite bei heisetreff, da es ziemlich einfach ist jemand dazu zu bewegen auf sein Profil zu klicken. Allerdings muss man sagen, wenn man bei seinem Login Sitzung an IP binden auswählt, dann nutzt der Cookie dem Angreifer nichts. Selbst wenn man einen Cookie daraus machen wöllte der nicht an die IP gebunden ist, scheitert dies vorläufig, da die Integrität und Authentizität des Cookies überprüft wird (anhand eines Hashwertes der ebenfalls im Cookie gespeichert ist, allerdings durch einen geheimen Schlüssel beeinflusst wird und daher nicht einfach reproduziert werden kann). Dadurch ist die Sitzungslänge allerdings an die Dauer der IP-Lease-Time gebunden.
Wählt man den normalen Login, kann der Cookie zur Authentifikation genutzt werden. Heise.de und alle ihre Seiten nutzen das gleiche System. (Ich werde demnächst noch eine Möglichkeit vorstellen wie man sich auch davor schützen kann, wobei das nicht wirklich neu ist, aber scheinbar dennoch nicht allgemein bekannt ist)
Nach meiner ersten Mail habe ich 1 Monat gewartet, nachdem keine Reaktion erfolgte habe ich es nochmal unter einer anderen Mailadresse probiert und siehe da, nach wenigen Stunden eine Antwort .
Die Lücken wurden noch am selben! Tag geschlossen, nach einer kleineren Unterhaltung mit dem Entwickler. 
Angespornt von dem Fund auf heisetreff habe ich anschließend weiter nach einer Lücke auf www.heise.de gesucht, die sicherlich mehr wert ist als eine auf heisetreff. Und siehe da nach kurzer Zeit wurde ich ebenfalls fündig. Eine “Reflected XSS” Lücke.
Die Lücken sind wie bereits gesagt alle geschlossen . Allerdings habe ich mich dazu entschieden hier einen Artikel darüber zu schreiben, da auf heisec nichts darüber zu lesen war und ganz unter den Tisch kehren wollen wir das dann auch nicht
- http://www.heise.de/preisvergleich/?qlink=<script>alert(/test/)</script>&subi=infos
- Lücken auf heisetreff
- http://www.heisetreff.de/?rm=<javascript payload>
September 12th, 2008 12:29
moin,
auf heise.de usw xss lücken zu finden hat schon was, aber guckd ir ma zb gmx.de oder web.de an, da wimmelts nur so von xss.
wann kommt ma wieder was neues von dir? will input
September 12th, 2008 13:10
Naja gut zu wissen dass das von jemand gelesen wird
.
Im Moment habe ich leider keine Zeit zu schreiben, leider wie ich sagen muss.
Aber ich werde mich bemühen mal wieder etwas zu publizieren.
August 20th, 2009 10:44
/me will auch mal wieder neuen Input =)