bookmark_borderLuca: Warum SameSite Cookies nicht die eierlegenden Wollmilchsäue in Sachen CSRF-Protection sind

In diesem Beitrag geht’s um die Luca Locations Web-App und um einen unzureichenden Schutz vor “Website-übergreifende Anfragenfälschung” (CSRF). Die hier beschriebenen Lücken wurde bereits geschlossen.

Weiterlesen…

bookmark_borderCMS iKISS: 716 kommunale Websites waren von XSS-Lücke betroffen

Das Content-Management-System iKISS der Firma Advantic GmbH ist bei vielen Websites von Städte, Gemeinden und Landkreisen im Einsatz. Laut Herstellerangaben verwendet jeder 5. Landkreis in Deutschland das CMS iKISS. Dieses war nun von einer Cross-Site-Scripting-Lücke betroffen.

Weiterlesen…

bookmark_borderSchule-BW.de: Remote Code Execution auf dem Bildungsserver Baden-Württemberg

Eine Web Applikation zur Verwaltung von Schulbüchern auf dem Landesbildungsserver Baden-Württemberg erlaubte das Einschleusen von SQL-Statements. In Verbindung mit weiteren Schwachstellen war eine vollständige Kompromittierung des Servers möglich. Inzwischen hat das Institut für Bildungsanalysen Baden-Württemberg reagiert und die Webanwendung vom Netz genommen. In diesem Beitrag mal eine SQL-Injection ohne die Verwendung automatisierter Tools wie sqlmap.

Weiterlesen…

bookmark_borderdeutsche-bank.de: DOM-based XSS dank Tracking

Neben den klassischen reflected XSS-Lücken sind DOM-based XSS-Lücken etwas schwieriger zu finden, aber dennoch häufig vertreten. Bei dieser Art der XSS-Schwachstelle befindet sich die Payload nicht direkt im HTML-Quelltext, sondern wird erst durch die Manipulation des DOM (Document Object Model) durch seiteninterne Skripte injiziert. In diesem Writeup eine derartige Lücke auf der Webseite der Deutschen Bank.

Weiterlesen…

bookmark_borderCloudflare-WAF vs XSS: Wer wird gewinnen?

Die Web-Application-Firewall (WAF) von Cloudflare kann potentiell gefährliche HTTP-Anfragen blockieren und somit vor Cross-Site-Scripting sowie SQL-Injections schützen. Jedoch sollte man sich nicht auf WAFs verlassen. Denn diese erkennen derartige Angriffe nicht immer zuverlässig. In diesem Beitrag versuchen wir mal die XSS-Protection zu umgehen 🙂

Weiterlesen…

bookmark_borderTekBASE CMS und die Sache mit den SQL-Injections

Die Firma TekLab vermarktet seit über 15 Jahren ein Shopsystem für Webhoster. Dieses Shopsystem trägt den Namen TekBASE und bietet unterschiedlichste Funktionen zur Verwaltung von Kundendaten, Gameserver, Webspaces, Voiceserver etc. Es bietet ähnliche Funktionen wie WHMCS, so dass auch Kunden hierüber ihre erworbenen Produkte verwalten können. Laut Anbieter gibt es Weltweit über 44.000 Installationen. Geschrieben wurde TekBASE in PHP. Ausgeliefert wird allerdings nur eine mit IonCube kodierte Version der Software, so dass der Quellcode per se nicht lesbar ist. Scheinbar aus gutem Grund.

Weiterlesen…

bookmark_borderbildung-rp.de: 904 Moodle-Instanzen waren per Cross-Site-Scripting angreifbar

Die Lernplattformen auf dem Bildungsserver Rheinland-Pfalz waren bis zum 21.09.2020 von einer simplen Cross-Site-Scripting-Sicherheitslücke betroffen. Durch das Aufrufen von manipulierten Links konnten Benutzerdaten abgegriffen werden sowie Aktionen im Namen des eingeloggten Nutzers ausgeführt werden. Inzwischen hat das Pädagogische Landesinstitut Rheinland-Pfalz reagiert und die Lücke beseitigt.

Weiterlesen…

bookmark_borderMebis: Weitere Sicherheitslücken in bayerische Lernplattform

Nachdem in den Medien von diversen Sicherheitslücken im Internetportal Mebis berichtet wurde, habe ich mich selbst mal etwas mit der Plattform beschäftigt. In diesem Blogbeitrag möchte ich von einer weiteren, bereits behobenen Cross-Site-Scripting-Sicherheitslücke berichten und auf ein paar technische Misstände eingehen. Zuvor lohnt es sich aber einen Blick auf den Blog von 0x90.space zu werfen. Diese haben bereits einige andere Sicherheitslücken in Mebis aufgedeckt.

Weiterlesen…

bookmark_borderLOVOO: Sicherheitslücken erlaubten Zugriff auf fremde Accounts

Die Plattform Lovoo war bis Ende Juni 2020 von einigen teils gravierenden Sicherheitslücken betroffen. Die Schwachstellen betrafen die Webanwendung lovoo.com und erlaubten einen uneingeschränkten Zugriff auf fremde Accounts. In diesem Beitrag werde ich von meinen Funden nach dem Responsible-Disclosure-Prinzip berichten. Alle hier beschriebenen Lücken wurden bereits behoben.

Weiterlesen…

bookmark_bordertrovo.live: Die wohl unsicherste 30 Millionen US-Dollar Plattform

Trovo.live ist der neue Stern am Streaminghimmel. Bei der Plattform handelt es sich um ein Live-Streaming-Videoportal, welches vorrangig zur Übertragung von Games genutzt wird. Nicht nur optisch, sondern auch funktional ähnelt die Plattform Twitch sehr stark. Wer genau hinter dieser Plattform steckt, ist nur schwer zu erkennen. Was jedoch feststeht, ist die Tatsache, dass das chinesische Unternehmen Tencent Holdings Ltd. maßgeblich in die Plattform investiert hat. Genauer gesagt sind es 30.000.000 US-Dollar, welche zum Erfolg der Plattform beitragen sollen.

Weiterlesen…