bookmark_borderCMS iKISS: 716 kommunale Websites waren von XSS-Lücke betroffen

Das Content-Management-System iKISS der Firma Advantic GmbH ist bei vielen Websites von Städte, Gemeinden und Landkreisen im Einsatz. Laut Herstellerangaben verwendet jeder 5. Landkreis in Deutschland das CMS iKISS. Dieses war nun von einer Cross-Site-Scripting-Lücke betroffen.

Weiterlesen…

bookmark_borderSchule-BW.de: Remote Code Execution auf dem Bildungsserver Baden-Württemberg

Eine Web Applikation zur Verwaltung von Schulbüchern auf dem Landesbildungsserver Baden-Württemberg erlaubte das Einschleusen von SQL-Statements. In Verbindung mit weiteren Schwachstellen war eine vollständige Kompromittierung des Servers möglich. Inzwischen hat das Institut für Bildungsanalysen Baden-Württemberg reagiert und die Webanwendung vom Netz genommen. In diesem Beitrag mal eine SQL-Injection ohne die Verwendung automatisierter Tools wie sqlmap.

Weiterlesen…

bookmark_borderdeutsche-bank.de: DOM-based XSS dank Tracking

Neben den klassischen reflected XSS-Lücken sind DOM-based XSS-Lücken etwas schwieriger zu finden, aber dennoch häufig vertreten. Bei dieser Art der XSS-Schwachstelle befindet sich die Payload nicht direkt im HTML-Quelltext, sondern wird erst durch die Manipulation des DOM (Document Object Model) durch seiteninterne Skripte injiziert. In diesem Writeup eine derartige Lücke auf der Webseite der Deutschen Bank.

Weiterlesen…