XSS bei der Bundesregierung

Update: Seit 10:45 Uhr ist das Problem gefixt.

Am 11.07.2011 habe ich das Presse- und Informationsamt der Bundesregierung auf eine Sicherheitslücke auf www.bundesregierung.de aufmerksam gemacht. Die E-Mail ging an [email protected] (die steht im Impressum) - bis heute gab es darauf keine Reaktion.

Bei der Sicherheitslücke handelt es sich um reflektives Cross-Site-Scripting, welches seit Jahren die Internet-Seuche Nummer 1 ist.

Auch viele Seiten die unter *.bund.de laufen, sind voll mit XSS.

Hier der Link zum Ausprobieren mit Nyan Cat und Popup:

http://www.bundesregierung.de/dbbabbau/index.jsp?ft=%22%3E%3Cimg%20src=%22http://media.tumblr.com/tumblr_lm8zd9q4bW1qgiyy3.gif%22%20onload=alert%28%22xss%22%29%3E&sel_rg4=0&sel_at6=0&rg2=&sel_rg5=0&submit=%3E+suchen

und in Kurzform zum Weitergeben und Verlinken:

http://goo.gl/PKdgJ

bundesregierung.de hatte auch schon öfter Probleme mit der Sicherheit. Das kann man hier, hier und hier nachlesen.

security
Nils Juenemann Author

Nils Juenemann

SRE Manager, Go Developer, Photographer, interested in Web application security. Working for Exaring AG.

You might enjoy:

Previous post The jewish Jerusalem
Next post Gerüchte über die Nikon D800