Die Website des Online-Bezahldienstleisters ClickandBuy enthielt nach 2012, erneut eine Sicherheitslücke. Über die Suchmaske der Hilfe-Seite für Kunden konnte ein speziell präparierter Suchstring eingegeben werden, der JavaScript-Code in die Seite einschleust. Die Cross-Site-Scripting-Lücke (XSS) konnte den Login- und Kundendaten gefährlich werden, da die Hilfe-Seite auf der selben Domain liegt wie die Login-Seite für Kunden.

Nachdem Sebastian Schreiber, Geschäftsführer der SySS GmbH und Live-Hacker am Heise-Stand auf der CeBIT, heise Security auf das Problem aufmerksam gemacht hatte, wurde ClickandBuy von heise Security über die Lücke informiert. Mittlerweile wurde die Lücke geschlossen. Die Suchergebnisse werden nun durch einen XSS-Filter bereinigt, bevor das Suchwort für die Anzeige verwendet wird.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE