Bundesamt für Wirtschaft und Exportkontrolle: Website kann über XSS manipuliert werden
3 min readAnfang letzter Woche wies ein Leser von Heise Security auf die Lücke in den Skripten auf verschiedenen Websites (XSS) hin, die er auf der offiziellen Website des Bundesamtes für Wirtschaft und Exportkontrolle (BAFA) gefunden hatte. Angreifer können die Sicherheitsanfälligkeit ausnutzen, indem sie einen speziell gestalteten Link verwenden, um den vertrauenswürdigen Kontext auszunutzen https://fms.bafa.de Zeigen Sie Ihren eigenen HTML- und JavaScript-Inhalt an.
Verpassen Sie keine Neuigkeiten! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Neuigkeiten von heise online für die letzten 24 Stunden.
-
Abonnieren Sie jetzt den Newsletter
Wir haben BAFA am vergangenen Dienstag, dem 4. August, über das Sicherheitsproblem informiert. Einer der zuständigen Beamten berichtete innerhalb weniger Stunden: Natürlich werden sie versuchen, die Sicherheitslücke so schnell wie möglich zu schließen. Am frühen Freitagnachmittag folgte BAFA-IT, dass die Sicherheitsanfälligkeit am Donnerstag durch einen Notfall behoben wurde. Tatsächlich kann das XSS-Skript danach nicht mehr neu erstellt werden.
Wenn zuvor eine Warnung angezeigt wird (siehe Hauptfoto), wird nach dem Entfernen eine Fehlermeldung zurückgegeben.
(Bild: Bildschirm)
Unabhängig von der freundlichen und zeitnahen Reaktion und Problemlösung durch die BAFA sollten Bürger, die die Website einer (Bundes-) Stelle besuchen, bestenfalls von Anfang an darauf vertrauen können, dass der Sicherheit bei der Programmierung besondere Aufmerksamkeit geschenkt wird. . Insbesondere bei Bereichen von Websites, die zur elektronischen Übertragung von (potenziell sensiblen) Daten verwendet werden: Via https://fms.bafa.de/BafaFrame/upload Sie können bei BAFA ausgefüllte Dokumente in verschiedenen Verantwortungsbereichen unter Angabe des Betreffs, der Transaktionsnummer und der Internet-Identifikationsnummer einreichen.
Schädlicher Inhalt in einem vertrauenswürdigen Kontext
Solche Dokumente würden jedoch ausdrücklich für die Tür erwähnt Nein kann berühren Stattdessen ermöglicht es, wie sein Entdecker per E-Mail angekündigt hat, sogenannte reflektierte oder intermittierende XSS-Angriffe. Bei solchen Angriffen wird der Schadcode nicht (dauerhaft) auf dem Webserver gespeichert, sondern in der lokalen “Kopie” der Website gespeichert und beim Zugriff auf die Seite ausgeführt.
Der Tippgeber demonstriert dies anhand eines Warnfelds mit der Ausgabe “1”, das nach dem Aufrufen der folgenden URL angezeigt wird:
https://fms.bafa.de/BafaFrame/upload?themenbereich=FEM-FV"><script>alert(1)
Das Problem: Der “Wert” des Betreffbereichs, einschließlich des injizierten Codes, wurde mit dem Parameter “Betreffbereich” GET direkt in den Quellcode der HTML-Seite geschrieben.
(Bild: Bildschirm)
Der angegebene Themenbereich kann durch einen anderen gültigen Parameter ersetzt werden – genau wie dies der entscheidende Faktor und das harmlose Warnfeld ist. Ein mögliches Angriffsszenario wäre stattdessen, ein gefälschtes BAFA-Formular in den Link aufzunehmen, um nach vertraulichen Daten zu fragen und diese dann an den Angreifer zu senden. Dies wird dann Personen angezeigt, die auf den neu gestalteten Link klicken (wahrscheinlich aufgrund seiner Länge und Struktur nicht mehr so unauffällig), beispielsweise in einer Phishing-E-Mail.
(OVW)
“Zertifizierter Schriftsteller. Totaler Problemlöser. Alkoholiker. Entdecker. Wütend bescheidener Student. Wannabe-Unternehmer. Twitter-Liebhaber.”
