Berlin.de: Nyan Cat zu Besuch in Berlin
sToRm 
Auf ihrer langen Reise treibt es "Nyan Cat" mal wieder richtig wild. Eine XSS-Schwachstelle im Hauptstadtportal auf Berlin.de macht die Sache möglich und lädt nach einem gestressten Arbeitstag zum netten Spielchen ein. Die Betreiber des Internetportals wurden vor einigen Tagen auf eine Schwachstelle hingewiesen, die unter gewissen Umständen nicht so lustig ist, wie das kleine Spielchen "Nyan Nyan" zwischendurch. Reagiert hat man leider bis jetzt noch nicht und wir nehmen an, dass da auch nicht mehr viel Reaktion kommen wird. ...
Dass eine XSS-Schwachstelle durchaus zu einem Problem werden könnte, haben wir ja in unseren vorherigen Beiträgen bereits erwähnt. So ließe sich ein "Opfer" auch mal eben mit lustigen Gadgets - nennen wir sie "Trojaner" oder auch "Malware" - ausstatten oder beliebig nach speziellen Wünschen des Angreifers ausspähen. Natürlich werden wir hier keine Anleitung dafür präsentieren. Stattdessen laden wir unsere Leser auf eine lustige Runde "Nyan Cat @ Berlin" ein.
Wie so oft, werden auch in diesem Fall die guten Worte ignoriert und das gutmütige Verhalten beiseite gekehrt. So ist die erwähnte Schwachstelle seit einigen Tagen eine gelungene Einladung für "Phisher" und natürlich auch unsere "Nyan Fans". Da man ja bekanntlich nicht so einfach wild irgendwelche Webseiten nach Schwachstellen durchwühlen kann (zumindest nicht ausführlich), mussten wir auf bestimmte Tests verzichten. Möglicherweise aber, tummeln sich im Portal noch weitere Problemstellen. Wer weiß, vielleicht hat sich auch die Möglichkeit einer SQL Injection versteckt. Da man hier aber grundsätzlich bei totaler Ignoranz auf den "Keine-Lust-Modus" schaltet, wird auch keine weitere Prüfung erfolgen.
Update:
Die Verantwortlichen in der Technik haben sich in der Zwischenzeit bei uns gemeldet und konnten die genannte Schwachstelle bereits nach wenigen Stunden beseitigen. Es ist schön, dass man doch noch reagiert hat. Offenbar wurde unser damaliger Hinweis nicht vom Empfänger an die zuständigen Techniker weitergeleitet, so dass man dort recht überrascht war. Die betroffene Seite wurde laut Angaben der Technik umgehend vom Netz genommen, um die Schwachstelle zu beseitigen. Man hat uns auch das Einverständnis für ggf. weitere Tests ausgesprochen, was wir natürlich begrüßen. So haben wir auch gleich noch ein paar Minuten investiert und die Betreiber bei unserer Antwort auf die Email, noch gleich über 2 weitere Schwachstellen im Portal auf Berlin.de informiert. Da nun ein direkter Kontakt besteht, gehen wir aber davon aus, dass die Problematik sehr schnell beseitigt wird.
