7/21/2011

Die Haustiere der Bildzeitung und der Bundesregierung

10:45 Uhr hat die Bundesregierung ihr neues Haustier bemerkt und die XSS Sicherheitslücke entfernt, dabei wurde gleich das ganze Verzeichnis mit dem fehleranfälligen Formular entfernt.

Meine Katze hat in der Zwischenzeit bei der Bildzeitung Nachwuchs bekommen:


Hier die Katze beim Spielen mit Bild.de


7/20/2011

XSS bei der Bundesregierung

Update: Seit 10:45 Uhr ist das Problem gefixt.

Am 11.07.2011 habe ich das Presse- und Informationsamt der Bundesregierung auf eine Sicherheitslücke auf www.bundesregierung.de aufmerksam gemacht. Die E-Mail ging an internetpost@bpa.bund.de (die stehen im Impressum) - bis heute gab es darauf keine Reaktion.


Bei der Sicherheitslücke handelt es sich um reflektives Cross-Site-Scripting, welches seit Jahren die Internet-Seuche Nummer 1 ist. Auch viele Seiten die unter *.bund.de laufen, sind voll mit XSS.


Hier der Link zum Ausprobieren mit Nyan Cat und Popup:
http://www.bundesregierung.de/dbbabbau/index.jsp?ft=%22%3E%3Cimg%20src=%22http://media.tumblr.com/tumblr_lm8zd9q4bW1qgiyy3.gif%22%20onload=alert%28%22xss%22%29%3E&sel_rg4=0&sel_at6=0&rg2=&sel_rg5=0&submit=%3E+suchen 
und in Kurzform zum Weitergeben und Verlinken:
http://goo.gl/PKdgJ
Bundesregierung.de hatte auch schon öfter Probleme mit der Sicherheit. Das kann man hier, hier und hier nachlesen.