Afterbuy beseitigt XSS-Schwachstelle
sToRm 
Durch die etwas größeren Problemfälle (EU, Politik.de & Co.) der vergangenen Wochen hätte man hier doch beinahe den Bericht zu Afterbuy vergessen. Die bekannte Plattform für Online-Händler war vor wenigen Wochen von einer XSS-Schwachstelle betroffen, die sich im Feature "Passwort vergessen?" versteckt hielt. Ich habe die Schwachstelle im Oktober 2011 aufgedeckt und umgehend bei den Betreibern gemeldet. Man hat recht schnell reagiert und die Schwachstelle beseitigt. ...
Theoretisch hätte ein Angreifer die Schwachstelle zu gezielten Spähangriffen oder zum Verteilen von Schadcode nutzen können. Dies wird über ungefilterte Parameter ermöglicht, die ein Einschleusen von externen Dateien oder präpariertem Code, in die aufgerufene Website erlauben. So hätte man auch Schwachstellen innerhalb des Webbrowsers ausnutzen können, um die Kontrolle über den PC des Besuchers zu erreichen. Ein tatsächlich erfolgter Übergriff ist aber nicht bekannt.
Die Schwachstelle wurde umgehend gemeldet und man hat auch relativ schnell geantwortet (wenn auch sehr knapp mit einem Einzeiler). Nachdem ich ausführliche Informationen, zusammen mit einer Demonstration der Schwachstelle - wie immer war Nyan-Cat (Screenshot) dabei - übersandt hatte, bekam ich zwar keinerlei Rückmeldung mehr und auch das "Danke" blieb aus, jedoch hat man die Schwachstelle recht fix beseitigt.
Auch wenn man sich für die kostenfreie und mit Sicherheit nicht selbstverständliche Hilfe, nicht einmal zu einem einfachen "Danke" bewegen konnte, ist es dennoch schön, wieder einmal eine mögliche "Gefahrenzone" außer Kraft gesetzt zu haben.
