BZonline schließt zweite Lücke

Gestern Abend hat die BZ reagiert und auch die zweite Lücke geschlossen. Diese war in der Veranstaltungssuchfunktion im Bereich Freizeit. Dort ließ sich durch das Feld des optionalen Suchbegriffs Code einschleusen.

Sicherheitslücke bei der BZonline

Um diese Lücke auszunutzen, muss nicht der Link zu der Freizeit-Seite vom Opfer aufgerufen werden, sondern der direkte Link zu dem Suchergebnis. Dank der Linkverkürzer wie beispielsweise tinyurl.com ist die Verschleierung eines solchen durchaus langen Links sehr einfach möglich.

Facebookdiskussion über die Nachricht

Diese wurde in mindestens einem Fall auch ausgenutzt. Ein verkürzter Link machte am Abend des 19. Aprils unter einigen Abiturienten die Runde.

Diese hatten an diesem Tag das Englischabitur geschrieben. In einer angeblichen Meldung auf BZonline teilte das Kultusministerium Baden-Württemberg mit, dass leider das Englischabitur wiederholt werden müsse, da die Aufgaben zuvor bei einem Einbruch in einer Schule abhanden gekommen seien. Tatsächlich war kurz vor dem Abitur der Tresor einer Schule aufgebrochen worden und die Abituraufgaben für Geschichte und Gemeinschaftskunde mussten ausgetauscht werden.

Zwar dauerte es nicht lange bis der „Scherz“ aufgeklärt wurde, er zeigte jedoch die Möglichkeiten dieser Lücke, die nun geschlossen wurde.