Der Zahlungsabwickler ClickandBuy hat eine weitere Sicherheitslücke geschlossen, durch die JavaScript eingeschleust werden konnte. Dieses Mal war die von einem Studenten der Ruhr-Universität Bochum gefundene Cross-Site-Scripting-Sicherheitslücke (XSS) im Kontaktformular des Service-Teams zu finden. Die dort eingegebene Kundennummer wurde von nicht ausreichend überprüft. Hat ein Angreifer hier JavaScript-Code eingegeben, wurde dieser im Kontext der ClickandBuy-Domain ausgeführt.

Wie auch schon bei der letzten gemeldeten Lücke wurde das Unternehmen schnell aktiv und schloss die Schwachstelle noch am selben Tag. Spätestens mit dem erneuten Hinweis sollte nun die ganze Webseite ordentlich auf Schwachstellen überprüft werden. Die weitere XSS-Lücke hatte der Finder schnell gefunden.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE