XSS-Schwachstellen in mehreren Single-Portalen
sToRm 
Ende Dezember letzten Jahres wurden die vier Partnerportale „EliteParter“, „Friendscout24“, „Parship“, sowie „Datingcafe“ über vorhandene XSS-Schwachstellen informiert. Diese „Cross-Site-Scripting“ Schwachstellen ließen sich auf bestimmten Seiten der Portale, durch eine HTTP-Anfrage mit manipuliertem Referrer und über einfache GET- und POST-Anfragen ausführen. Somit wäre es möglich gewesen, eingeschleusten Code im vertrauenswürdigen Kontext des Browsers auszuführen, um so an sensible Daten der Nutzer des jeweiligen Portals zu gelangen.
Besonders brisant erscheinen die Schwachstellen, da davon auszugehen ist, dass es sich um gut besuchte Webseiten handelt, dessen Benutzer sensible Daten von sich Preis geben. Somit ist das Risiko für diese Benutzer, welche für die Nutzung meist sogar Geld bezahlen, umso größer. Ein Angreifer könnte die Zahlungswege manipulieren oder Eingaben der Benutzer abfangen.
Per E-Mail und Kontaktformular über die Schwachstellen informiert, haben Support-Mitarbeiter aller Portale, innerhalb kurzer Zeit mit einem kurzen Feedback und der Angabe, die Informationen über die Schwachstellen an die zuständige Abteilung weiterzuleiten, reagiert. Einzig der IT-Support von „ElitePartner“ jedoch, hat sich daraufhin Mitte Januar, mit einem sehr freundlichen Hinweis über die beseitigte Schwachstelle und einem Dankeschön, zurückgemeldet. Beim Partnerportal „Datingcafe“ wiederum wurde die Schwachstelle zwar innerhalb kurzer Zeit behoben, ein weiteres Feedback erfolgte aber leider nicht mehr.
Bei den beiden Portalen „Friendscout24“ und „Parship“, scheint in Bezug auf die gemeldeten Schwachstellen, bis zum heutigen Zeitpunkt nichts weiter passiert zu sein, da diese weiterhin ausführbar sind. Da solche Schwachstellen letztlich die Sicherheit der Kunden dieser Portale betreffen, ist es schwer nachzuvollziehen warum diese Probleme von den Betreibern bisher nicht behoben wurden.
(Gastbeitrag: Stefan Schurtz)
Update 11.02.2013 – Heiko Frenzel:
So wie es aussieht, hatte der Beitrag hier im Blog seine Wirkung. Parship wurde auf diese Veröffentlichung aufmerksam und hat nun – wie mitgeteilt wurde – die Sicherheitsproblematik beseitigt. Eine Kontaktaufnahme mit Sicherheit-Online gab es allerdings nicht. Der Hinweisgeber hat von den Verantwortlichen lediglich eine Rückmeldung erhalten, dass die Schwachstellen geschlossen wurden. Es freut mich, dass die Berichterstattung auch in diesem Fall ihre Wirkung zeigt. Schöner wäre es aber, man würde Sicherheitshinweise grundsätzlich mit hoher Priorität behandeln und die Sicherheitsprobleme möglichst schnell beseitigen.
Update 14.02.2013 – Heiko Frenzel:
Auch die FriendScout24 GmbH hat sich zwischenzeitlich auf den Beitrag gemeldet. Gestern wurde per E-Mail und Telefon mitgeteilt, dass man sich für die Information über Sicherheitsfehler bedankt. Man habe „…die gefundene Lücke mittlerweile geschlossen…“ und die „…internen Scans und Pen-Tests so erweitert, dass ähnliche Probleme in Zukunft schneller erkannt werden können…“. Nutzer der Internetagenbote von der FriendScout24 GmbH können also ebenfalls aufatmen und brauchen sich – bezüglich der gemeldeten Sicherheitsproblematik – keine Gedanken mehr machen. Die bisherigen Reaktionen der Betreiber auf die Berichterstattung, sind positiv und erwecken den Eindruck, dass man dort durchaus großen Wert auf den Schutz der User legt. An der Stelle: Daumen hoch!
