Blog von Alexander Windbichler Aristochaot

3Jun/081

$portal Sicherheitsleck

Heute stoß ich auf ein Problem bei $portal.

Mit Jürgen gemeinsam haben wir dann direkt auf den $portal Server Skripte ausführen können.

Screenshot entfernt.

URL kann ich leider nicht posten - also keine Anfragen.

Das Team von $portal haben wir nach dem Ergebnis (siehe Screenshot) natürlich sofort benachrichtigt. Bin schon sehr gespannt wie diese reagieren werden.

Gedauert hat die ganze Aktion ~ 30 Minuten, dann könnte man $portal theoretisch sogar auf beliebige Seiten umleiten. Auch waren alle Passwörter sichtbar.

Mal abwarten - die Leute sind verständigt, warte noch auf eine Reaktion.

Update - 16:05 Uhr: Schnelle Reaktion auf meine Nachrichten - habe auf Wunsch des Betreibers den Screenshot gelöscht und alle Hinweise auf das Portal entfernen müssen entfernt ;) Liebe Betrieber (die ihr auch mein Blog lest): Bitte entfernt ihr aber nun fairheitshalber die Lücke :)

Kommentar von mir: Und nein - das ist keine virale Kampagne gewesen, sondern nur ein Anstoß, dass kleine Fehler großen Schaden anrichten können. Mir passiert sowas auch und bin immer froh wenn mich wer drauf hinweist und habe schon mehr geblutet als ein eingschwärzter Blogeintrag. Kleine Blogger kommen gegen die "Großen" halt nicht an.

Lustig finde ich, dass Firmen, die subjektive Artikel in Umlauf bringen und den Ruf von anderen ruinieren, obwohl es oft gar nicht stimmt, es nicht ertragen können, wenn mal Kritik über sich selbst auftritt, die sehr sehr schnell in absolut Positive umgewandelt werden kann, weil Fehler einfach menschlich sind.

Der letzte Absatz war zu persönlich, deswegen durchgestrichen.

Wie auch immer: Der Herr war sehr nett und ich danke Ihnen, dass wir die Sache so geregelt haben und nicht anders!

Todo für morgen:

- Milch kaufen

- Kaffepulver

- Rechtsschutzversicherung auf MEUR 50 erhöhen lassen

Update - 16:45 Uhr: Wow, der Fehler wurde ausgebessert. Keine der alten URLs funktioniert mehr. Die XSS Fehler bestehen aber nach wie vor, aber ok, das kann man ja noch fast durchgehen lassen. Ehrlich gesagt, dachte ich nicht, dass der Fehler behoben wird, von daher nicht so schlecht. Übertrifft meine Erwartungen.

Filed under: Uncategorized Leave a comment
Comments (1) Trackbacks (0)
  1. lif
    June 3rd, 2008 - 13:59

    was genau was das für eine Sicherheitslücke / wie seit ihr draufgekommen?


Leave a comment


No trackbacks yet.

» «

Blogroll

Archives

Spam Blocked