Nils Jünemann: July 2011

7/21/2011

Die Haustiere der Bildzeitung und der Bundesregierung

10:45 Uhr hat die Bundesregierung ihr neues Haustier bemerkt und die XSS Sicherheitslücke entfernt, dabei wurde gleich das ganze Verzeichnis mit dem fehleranfälligen Formular entfernt.

Meine Katze hat in der Zwischenzeit bei der Bildzeitung Nachwuchs bekommen:

Hier die Katze beim Spielen mit Bild.de

7/20/2011

XSS bei der Bundesregierung

Update: Seit 10:45 Uhr ist das Problem gefixt.

Am 11.07.2011 habe ich das Presse- und Informationsamt der Bundesregierung auf eine Sicherheitslücke auf www.bundesregierung.de aufmerksam gemacht. Die E-Mail ging an internetpost@bpa.bund.de (die stehen im Impressum) - bis heute gab es darauf keine Reaktion.

Bei der Sicherheitslücke handelt es sich um reflektives Cross-Site-Scripting, welches seit Jahren die Internet-Seuche Nummer 1 ist. Auch viele Seiten die unter *.bund.de laufen, sind voll mit XSS.

Hier der Link zum Ausprobieren mit Nyan Cat und Popup:

http://www.bundesregierung.de/dbbabbau/index.jsp?ft=%22%3E%3Cimg%20src=%22http://media.tumblr.com/tumblr_lm8zd9q4bW1qgiyy3.gif%22%20onload=alert%28%22xss%22%29%3E&sel_rg4=0&sel_at6=0&rg2=&sel_rg5=0&submit=%3E+suchen

und in Kurzform zum Weitergeben und Verlinken:

http://goo.gl/PKdgJ

Bundesregierung.de hatte auch schon öfter Probleme mit der Sicherheit. Das kann man hier, hier und hier nachlesen.

I'm working as System Architect for devbliss (former VZ Netzwerke Engineering) - a german Social Network with 17 million registered users.

I've started in 2006 with VZ to build a large scalable web infrastructure to handle >45 billion req/month and store >250 TB of data running on 700 linux server (6000 Cores, 15 TB memory) with an application stack of software written in Python, Java, Erlang, PHP, Scala and C++.

I'm a professional in operating and design of large-scale web applications/infrastructure and I'm interested in web application security.