XSS und wie einige damit umgehen…

Schon der 2. Eintrag?
Ja genau, denn jetzt muss es raus…
Am 21. Januar 2009 habe ich auf der Webseite ichkoche.at eine Cross-Site Scripting Lücke entdeckt. Nett wie ich eben bin, ging auch gleich eine E-Mail mit dem Hinweis auf die besagte Lücke inkl. Lösungsvorschlägen und etwas Beispielcode raus.
Und was passierte dann?

  • Die schönste Variante währe gewesen:
    • ichkoche.at hätte den Fehler behoben und mir eine kurze „Dankes-“ E-Mail gesendet oder noch einmal genauer nachgefragt
  • Es ginge auch anders:
    • ichkoche.at hätte den Fehler einfach behoben und hätte auf weiteren Kontakt zu mir verzichtet
  • Und das ist wirklich passiert:
    • NICHTS! Weder wurde der Fehler behoben, noch wurde mir auf meine Mail(s) geantwortet. Man stellt sich einfach tot und hofft, dass niemand das ganze ausnutzt. So etwas zeugt nicht gerade von Professionalität von der vorsätzlichen Gefährdung der User ganz zu schweigen

Ich werde denen wohl noch einmal eine Erinnerungs-Mail schicken, eventuell sind die ersten 2 Mails und die Nachricht über XING an die Geschäftsführung ja gar nicht angekommen? Vielleicht hilft es ja auch wenn ich einen kompletten Exploit Code anhänge, mal schauen…

Weiter

Zurück

Antworten