XSS-Lücke bei Blau.de und Fyve.de

Bereits im Juli 2012 meldete ein Forumsteilnehmer bei gulli.com gravierende Sicherheitslücken in den Suchfunktionen der Online-Präsenzen von blau.de und fyve.de. Die Sicherheitslücken ermöglichen Cross-Site-Scripting-Angriffe (XSS), über die Schadcode eingeschleust werden kann. Außerdem lassen sich die Cookies eines Besuchers auslesen. Auch die HTTPS-Version der Websites bietet dagegen keinen Schutz. XSS-Angriffe lohnen sich für Kriminelle vor allem bei stark frequentierten Websites, einfach weil hier die Menge der potentiellen Opfer wahrscheinlich hoch ist.

Gulli.com hat die Betreiber der anfälligen Websites sofort informiert. Blau.de hat den Fehler kurz darauf im Rahmen eines turnusmäßigen Updates beseitigt. Die ProSiebenSat.1-Tochter fyve.de hingegen konnte nach Angaben eines Technikers die Lücke anscheinend bis vor kurzem nicht nachvollziehen. Seltsam nur, dass Mitarbeiter von gulli.com die Lücken über den Penetrationstester Unnex sofort verifizieren konnten, und zwar in vollem Umfang für beide Websites. Inzwischen wurde ein direkter Informationsaustausch zwischen dem Hinweisegeber und fyve.de hergestellt, so dass auch dort die Sicherheitslücke möglichst bald geschlossen werden kann.