Sicherheitslücke auf Volksbank.at

Mehrere Cross Site Scripting (XSS) Sicherheitlücken wurden auf www.volksbank.at gefunden. Die Zuständigen nahmen die Meldung vorerst, gleich wie GIS, auf die leichte Schulter.

Nun sind die bis dato entdeckten XSS Lücken behoben und die Beispiele dienen zur Weiterbildung von Webmastern.

Sicherheitslücke Ort

Zwei Anläufe zur Beseitigung sind genau zwei zu viel.

Unter

werden per GET Parameter der Seitentitel und die Frameurl mitgegeben.

Unsinnig? Vielleicht. Unsicher? Mit Sicherheit!

Missbrauchszweck

Die beschriebene Lücke kann eingesetzt werden um an E-Banking Logins zu kommen.

Cross Site Scripting und Phishing

Werden Parameter ungefiltert im weiteren Code verwendet, kann dies oft zu Cross Site Scripting führen. Meistens wird dafür Java Script eingesetzt.

In diesem Fall war weder Java Script, noch eine andere Skriptsprache nötig. Es konnte eine beliebige Url, wie die einer Phishing Site, zusammengestellt und verbreitet werden.

XSS Lücke 1

Die Verbreitung des Links könnte dabei mit einer Phishing Mail vollzogen werden, in der dann beispielsweise folgender Text enthalten ist:

Sehr geehrter E-Banking Nutzer!

Aufgrund eines Sicherheitsupdates unseres E-Banking-Dienstes bitten wir Sie, ihr Passwort umgehend  zu ändern.

Zum E-Banking:

http://kurse.banking.co.at/volksbank/default.asp?menu1=5&menu1name=B%F6rsen+%26+M%E4rkte&menu1link=/de/modul/kurse_maerkte.jsp
?seite=0&branch=volksbank_at&language=de&loclink=/m101/volksbank&locincl=/&stage=p&dcr_name=templatedata/vb_modul/kurse_maerkte/
data/de/kurse_maerkte&thisjsp=/de/modul/kurse_maerkte&bc=navi&seite=0&url=www.killoverhead.com&titel=Security%20Hole%20found

Diese Lücke wurde am 27.07.2011 geschlossen.

Volksbank Statement

Kurzfristig ist diese Schwachstelle nun behoben, sodass die Parameter „url“ und „title“ nicht mehr für XSS verwendet werden können. Der title-Parameter wird nun ordnungsgemäß encodiert, sodass die Einbindung von script-Tags durch diesen Parameter nicht mehr möglich ist. Der url-Parameter ist derzeit noch vorhanden, wird aber von der Logik der Seite nicht mehr beachtet und wird im nächsten Update der Seite auch gänzlich aus der URL verschwinden. Damit wird auch diese Schwachstelle entfernt.

XSS Lücke 2

Durch die Ausgabe von HTML Kommentaren und Übernehmen von Seitentitel per GET, konnte Java Script eingeschleust werden.

Damit kann im Grunde dasselbe Ergebnis erziehlt werden.

http://kurse.banking.co.at/volksbank/default.asp?menu1=5&menu1name=B%F6rsen+%26+M%E4rkte&menu1link=/de/modul/kurse_maerkte.jsp?seite=0&branch=volksbank_at&language=de&loclink=/m101/volksbank&locincl=/&stage=p&dcr_name=templatedata/vb_modul/kurse_maerkte/data/de/kurse_maerkte&thisjsp=/de/modul/kurse_maerkte&bc=navi&seite=0&url= –><script>alert(„Sorry, you failed again. Visit killoverhead.com“);window.location=“http://www.killoverhead.com“</script><– &titel=Sorry, you failed. Visit killloverhead.com

Diese Lücke wurde am 03.08.2011 geschlossen.

Der Seitentitel wird bei Lücke #2 immer noch übernommen.

Volksbank Statement

Wir haben uns die Schwachstelle angesehen und den Fehler gefunden. Die Parameter wurden bei einer Anfrage als HTML-Kommentare in eine JSP geschrieben, weshalb Ihre zweite Methode erfolgreich war.

Nun sollte die Ausnutzung dieser Schwachstellen nicht mehr möglich sein. Wir haben eine entsprechende Logik implementiert die (offensichtliche) Änderungen der Parameter erkennt und dann auf eine statische Fehlerseite verweist.

Ich bin gespannt was das für eine „entsprechende Logik“ ist.

Dieser Beitrag wurde erst nach Meldung und Beseitigung der Fehler and sicherheit@volksbank.at veröffentlicht.

Screenshots

volksbank_security_hole_2

Sei sozial und teile

Über den Autor Andreas Grundner

Ich bin Wordpress, Joomla, Typo3 Integrator, Unix Rootserver Administrator und Webanwendungsprogrammierer. Mittlerweile habe ich über 70 Webprojekte weitgehend selbstständig mit enger Kundenabsprache realisiert. Ich bin auf One Page Websites auf Wordpress-Basis spezialisiert, biete aber auch Suchmaschinenoptimierung (SEO), Blogs, Facebook, Youtube und Google+ Seiten an. Meine Verpflichtung gilt dem Datenschutz, meine Leidenschaft dem Finden und Aufzeigen von Sicherheitslücken in Webanwendungen.

Meinung sagen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.