BZonline schließt zweite Lücke

Gestern Abend hat die BZ reagiert und auch die zweite Lücke geschlossen. Diese war in der Veranstaltungssuchfunktion im Bereich Freizeit. Dort ließ sich durch das Feld des optionalen Suchbegriffs Code einschleusen.

Sicherheitslücke bei der BZonline

Um diese Lücke auszunutzen, muss nicht der Link zu der Freizeit-Seite vom Opfer aufgerufen werden, sondern der direkte Link zu dem Suchergebnis. Dank der Linkverkürzer wie beispielsweise tinyurl.com ist die Verschleierung eines solchen durchaus langen Links sehr einfach möglich.

Facebookdiskussion über die Nachricht

Diese wurde in mindestens einem Fall auch ausgenutzt. Ein verkürzter Link machte am Abend des 19. Aprils unter einigen Abiturienten die Runde.

Diese hatten an diesem Tag das Englischabitur geschrieben. In einer angeblichen Meldung auf BZonline teilte das Kultusministerium Baden-Württemberg mit, dass leider das Englischabitur wiederholt werden müsse, da die Aufgaben zuvor bei einem Einbruch in einer Schule abhanden gekommen seien. Tatsächlich war kurz vor dem Abitur der Tresor einer Schule aufgebrochen worden und die Abituraufgaben für Geschichte und Gemeinschaftskunde mussten ausgetauscht werden.

Zwar dauerte es nicht lange bis der „Scherz“ aufgeklärt wurde, er zeigte jedoch die Möglichkeiten dieser Lücke, die nun geschlossen wurde.

Die Badische Zeitung und die Sicherheitslücke (Update)

Da wird monatelang nicht auf den Hinweis einer Sicherheitslücke reagiert, nachdem ich sie veröffentlichte, ist innerhalb von wenigen Stunden möglich was vorher monatelang nicht ging: Die Lücke wird geschlossen. Der Redaktionsleiter der Onlineredaktion meldet sich in den Kommentaren und bittet zukünftige „vergleichbare Konfliktherde“ über ein Kontaktformular direkt an die Onlineredaktion zu melden. Freundlicherweise verlinkt er es auch gleich. Über die Webseite ist es nämlich sehr einfach zu finden. Man gelangt über „Kontakt“ zu „BZ E-Paper & Online“, dort auf „badische-zeitung.de“ und dann auf die erste Frage „Wohin kann ich mich bei weiteren Fragen wenden?“ und schon ist man bei dem gewünschten Formular gelandet. Einfacher geht es kaum.

Schuld an dem monatelangen Schweigen war also die interne Organisation. Ein Hinweis auf eine Sicherheitslücke wird nicht an die dafür zuständigen weitergeleitet. Das ist zwar alles andere als sinnvoll, kann aber passieren. Direkt am Mittwoch kam ich daher der Bitte von Herrn Hofmann nach und schickte der Onlineredaktion eine Mail über das Formular und wies sie auf eine weitere Sicherheitslücke hin. Umgehend bekam ich auch eine automatische Bestätigungsmail, über den Empfang meiner Nachricht. Und seitdem hörte ich nichts. Weder meldete sich jemand noch wurde die Lücke geschlossen.

Auch bei dieser ist es möglich Code in die Seite einzuschleusen. Zwar nicht ganz so komfortabel wie bei der Kommentarfunktion, aber es geht. Und sie wurde mindestens einmal bereits ausgenutzt. Zwar nur zum Spaß und ohne, dass ein ernster Schaden hervorgerufen worden wäre, aber sie wurde ausgenutzt.

Ich weiß nicht woran es diesmal liegt. Eigentlich sollte die Mail jetzt ja bei der richtigen Stelle gelandet sein. So aufwendig ist die Behebung der Lücke auch nicht. Zur Not müsste halt die entsprechende Funktion bis auf Weiteres abgeschaltet werden.

Vielleicht muss ich auch erst die Lücke veröffentlichen, bevor die Badische Zeitung wieder aktiv wird.

Update: Mittlerweile wurde reagiert und mir mitgeteilt, dass sich die Techniker darum kümmern und das Problem bis heute beheben werden. Mal sehen. Bisher ist nichts passiert. (Stand: 3.11. 13: 21 Uhr)

Sicherheitslücke bei Badische-Zeitung.de (Update)

Vor genau einem halben Jahr wies ich die Badische Zeitung auf eine Sicherheitslücke in der Kommentarfunktion auf Webseite hin. Seit dem wurde weder die Lücke geschlossen, noch bekam ich eine Antwort. Vor einigen Tagen kontaktierte ich erneut die Badische Zeitung und kündigte eine Veröffentlichung der Lücke an, wenn diese nicht geschlossen würde. Wieder keine Antwort und das Problem besteht auch weiterhin. Daher veröffentliche ich nun die Lücke.

Kern des Problems ist die Kommentarfunktion. Anders als beispielsweise bei den allermeisten Blogs, lässt die Badische Zeitung jegliche HTML-Befehle zu und beschränkt diese nicht auf die Befehle, die zur Textformatierung geeignet sind. Das ist auf den ersten Blick ein netter Service, da jeder so seinen Kommentar formatieren kann. Doch damit lässt sich noch viel mehr anstellen.

So lassen sich beispielsweise Nachrichten ausgeben und Kommentare in fremdem Namen abgeben. (Ich habe dabei extra eine der ersten Nachrichten genommen, es funktioniert genauso auch bei aktuellen Artikeln.) Das Verändern des Layouts der Webseite wäre jedoch noch eine der weniger folgenreichen Manipulationen. Hingegen lässt sich mit der Verwendung von Javascript-Code einiges Schwerwiegendere anstellen. Da auch dessen Verwendung nicht unterbunden wird, wird der Code als Teil der Kommentare beim Aufruf des entsprechenden Artikels ausgeführt. Für den Browser des jeweiligen Nutzers ist dieser Code vertrauenswürdig, da er ja direkt von Badische-Zeitung.de kommt. Dies kann von Angreifern ausgenutzt werden, indem bei Aufrufen des jeweiligen Artikels automatisch dann Schadcode nachgeladen wird.

Durch diese Lücke wird also Cross-Site Scripting Tür und Tor geöffnet. Das Problem ließe sich jedoch sehr leicht lösen, indem einfach nicht mehr alle HTML-Tags zugelassen werden, sondern nur noch einige wenige, die für die Textformatierung erforderlich sind. Hoffentlich reagiert die Badische Zeitung nun zeitnah und schließt die Lücke.

Update:
Mittlerweile hat die BZ die Lücke geschlossen. Alle eckigen Klammern („<“ oder „>“) werden nun nicht mehr zugelassen. Bei der Eingabe werden die eckigen Klammern anhängender Text gelöscht. So wird beispielsweise die Eingabe von „<p“ nicht verarbeitet. Im ersten Moment dachte ich, das das Problem nicht vollständig gelöst sei, da bei Eingabe von Leerzeichen nach der Klammer („< p“) die Eingabe verarbeitet wird. Wird nun jedoch auch noch die schließende Klammer angefügt („< p >“) wird der Befehl nicht mehr verarbeitet. Es wird also Text der direkt auf „<“ folgt und Text der zwischen „<“ und „>“ steht samt den Klammern nicht verarbeitet.

Die BZ hat diese Sicherheitslücke also nun endlich geschlossen.