bookmark_borderDie kurzzeitige Rückkehr der YouTube Dislikes – Ein Tauchgang in die Tiefen der YouTube API (und wieder zurück)

Im Dezember 2021 wurde die öffentliche Darstellung der Dislike-Anzahl bei allen YouTube Videos deaktiviert. Die Anzahl der Dislikes wäre nun privat, sagte Google. Es ist wohl verständlich, dass viele diesen Schritt eher als Verschlimmbesserung der Plattform betrachten. Immerhin konnte man so die Qualität der Videos meist zuverlässig einschätzen ohne sich das Video komplett anzuschauen. Als Content Creator gibts da natürlich auch andere Sichtweisen, wie YouTube unter anderem in einem Blogbeitrag beschreibt. Wie dem auch sei, man kann davon ausgehen, dass YouTube diese Änderung nicht wieder rückgängig macht. Aber wie wurde diese Änderung überhaupt aus technischer Sicht durchgeführt? Spoiler: Nicht durchgängig.

Ein Einblick in die Tiefen der YouTube API und Relikte aus vergangenen Zeiten.

Weiterlesen…

bookmark_borderLuca: Warum SameSite Cookies nicht die eierlegenden Wollmilchsäue in Sachen CSRF-Protection sind

In diesem Beitrag geht’s um die Luca Locations Web-App und um einen unzureichenden Schutz vor “Website-übergreifende Anfragenfälschung” (CSRF). Die hier beschriebenen Lücken wurde bereits geschlossen.

Weiterlesen…

bookmark_borderCMS iKISS: 716 kommunale Websites waren von XSS-Lücke betroffen

Das Content-Management-System iKISS der Firma Advantic GmbH ist bei vielen Websites von Städte, Gemeinden und Landkreisen im Einsatz. Laut Herstellerangaben verwendet jeder 5. Landkreis in Deutschland das CMS iKISS. Dieses war nun von einer Cross-Site-Scripting-Lücke betroffen.

Weiterlesen…

bookmark_borderSchule-BW.de: Remote Code Execution auf dem Bildungsserver Baden-Württemberg

Eine Web Applikation zur Verwaltung von Schulbüchern auf dem Landesbildungsserver Baden-Württemberg erlaubte das Einschleusen von SQL-Statements. In Verbindung mit weiteren Schwachstellen war eine vollständige Kompromittierung des Servers möglich. Inzwischen hat das Institut für Bildungsanalysen Baden-Württemberg reagiert und die Webanwendung vom Netz genommen. In diesem Beitrag mal eine SQL-Injection ohne die Verwendung automatisierter Tools wie sqlmap.

Weiterlesen…

bookmark_borderdeutsche-bank.de: DOM-based XSS dank Tracking

Neben den klassischen reflected XSS-Lücken sind DOM-based XSS-Lücken etwas schwieriger zu finden, aber dennoch häufig vertreten. Bei dieser Art der XSS-Schwachstelle befindet sich die Payload nicht direkt im HTML-Quelltext, sondern wird erst durch die Manipulation des DOM (Document Object Model) durch seiteninterne Skripte injiziert. In diesem Writeup eine derartige Lücke auf der Webseite der Deutschen Bank.

Weiterlesen…

bookmark_borderCloudflare-WAF vs XSS: Wer wird gewinnen?

Die Web-Application-Firewall (WAF) von Cloudflare kann potentiell gefährliche HTTP-Anfragen blockieren und somit vor Cross-Site-Scripting sowie SQL-Injections schützen. Jedoch sollte man sich nicht auf WAFs verlassen. Denn diese erkennen derartige Angriffe nicht immer zuverlässig. In diesem Beitrag versuchen wir mal die XSS-Protection zu umgehen 🙂

Weiterlesen…

bookmark_borderTekBASE CMS und die Sache mit den SQL-Injections

Die Firma TekLab vermarktet seit über 15 Jahren ein Shopsystem für Webhoster. Dieses Shopsystem trägt den Namen TekBASE und bietet unterschiedlichste Funktionen zur Verwaltung von Kundendaten, Gameserver, Webspaces, Voiceserver etc. Es bietet ähnliche Funktionen wie WHMCS, so dass auch Kunden hierüber ihre erworbenen Produkte verwalten können. Laut Anbieter gibt es Weltweit über 44.000 Installationen. Geschrieben wurde TekBASE in PHP. Ausgeliefert wird allerdings nur eine mit IonCube kodierte Version der Software, so dass der Quellcode per se nicht lesbar ist. Scheinbar aus gutem Grund.

Weiterlesen…

bookmark_borderbildung-rp.de: 904 Moodle-Instanzen waren per Cross-Site-Scripting angreifbar

Die Lernplattformen auf dem Bildungsserver Rheinland-Pfalz waren bis zum 21.09.2020 von einer simplen Cross-Site-Scripting-Sicherheitslücke betroffen. Durch das Aufrufen von manipulierten Links konnten Benutzerdaten abgegriffen werden sowie Aktionen im Namen des eingeloggten Nutzers ausgeführt werden. Inzwischen hat das Pädagogische Landesinstitut Rheinland-Pfalz reagiert und die Lücke beseitigt.

Weiterlesen…

bookmark_borderMebis: Weitere Sicherheitslücken in bayerische Lernplattform

Nachdem in den Medien von diversen Sicherheitslücken im Internetportal Mebis berichtet wurde, habe ich mich selbst mal etwas mit der Plattform beschäftigt. In diesem Blogbeitrag möchte ich von einer weiteren, bereits behobenen Cross-Site-Scripting-Sicherheitslücke berichten und auf ein paar technische Misstände eingehen. Zuvor lohnt es sich aber einen Blick auf den Blog von 0x90.space zu werfen. Diese haben bereits einige andere Sicherheitslücken in Mebis aufgedeckt.

Weiterlesen…

bookmark_borderLOVOO: Sicherheitslücken erlaubten Zugriff auf fremde Accounts

Die Plattform Lovoo war bis Ende Juni 2020 von einigen teils gravierenden Sicherheitslücken betroffen. Die Schwachstellen betrafen die Webanwendung lovoo.com und erlaubten einen uneingeschränkten Zugriff auf fremde Accounts. In diesem Beitrag werde ich von meinen Funden nach dem Responsible-Disclosure-Prinzip berichten. Alle hier beschriebenen Lücken wurden bereits behoben.

Weiterlesen…