|
ÖBB.at mit Fehlern Veröffentlicht am: 29.06.2005 09:20:15 Die Homepage der ÖBB weist eine Sicherheitslücke auf. Genauer gesagt die Umlautdomain öbb.at (nicht oebb.at). Bei öbb.at kann man auf einfachste Weise den JSP-Source-Code der Seite ermitteln. Auf den Fehler machte uns Viktor Krammer, Autor der Quero Toolbar für den Internet Explorer der dies als peinliche Sicherheitslücke einstuft, aufmerksam. Die unter "Source Code Disclosure" bekannte Attacke wird durch den Zugriff über den Umlaut-Domain-Namen (öbb.at) möglich. Das Online-Ticketing, welches sich auf einem anderen Host befindet, ist von dieser Sicherheitslücke nicht direkt betroffen. Man sieht etwaige Fehler die man sich zunutze machen kann, den Programmierstil, zukünftige Erweiterungen etc. Wählt man die URL www.xn--bb-eka.at (bzw. www.öbb.at) an, so erscheint der folgende Code: <% response.sendRedirect("/vip8/oebb/de/"); %> Erweitert um diesen Link (http://www.xn--bb-eka.at/vip8/oebb/de/) kann man den kompletten Source Code dieser Seite einsehen. Es funktioniert zwar nicht von jedem Netzwerk aus - aus der WCM-Redaktion ist die Umlautdomain gar nicht anwählbar - aber über Chello ist es kein Problem. Bis jetzt konnten wir bei der ÖBB noch keinen Verantwortlichen erreichen. Robert Wanderer
Gedruckt von WCM (http://www.wcm.at/contentteller.php/news_story/oebbat_mit_fehlern.html)
|