Security des tages

Veröffentlicht von 124c41 am

Ist hier jemand bei der spaßkasse und macht dort diese moderne internetz-fernkontoführung?

The vulnerability is located in the `firstname`, `lastname` and `companyname` values of the `newsletter` module. The vulnerable parameters are f[1][v], f[2][v] & f[2][v] (sic!). Remote attackers are able to inject own malicious script code via POST method request to the application-side of the sparkasse dns domain mailing service. The attack vector of the vulnerability is persistent on the application-side and the request method to inject is POST […] The exploitation of the persistent input validation web vulnerability requires low user inter action and no privileged application user account. Successful exploitation of the vulnerability results in session hijacking, persistent phishing, persistent external redirects to malicious sources and persistent manipulation of affected or connected web module context

Auch weiterhin viel spaß bei der fernkontoführung! Ist ja sicher. Diese ini-mini–wini-winzig-klitze-kleine sicherheitlücke, mit der jeder hansel sich gegenüber kunden als spaßkasse ausgeben konnte, wurde auch nur als „mittelgroß“ eingestuft. Woher sollten die bei der spaßkasse auch wissen, dass man eingabedaten irgendwie validieren muss? Und es geht ja auch nur um geld. Was kann da schon passieren?

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

Gravatar
WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Abbrechen

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.