XSS (Cross Site Scripting)

Hallo,

Also dieser S.C. ist ein Sportler & diese open .... Firma möchte ev. nur Geschäft machen.
Offizielle Infos von XSS findet man hier: https://extensions.joomla.org/vulnerable-extensions/vulnerable/

Hoster wird sich melden, denke ich. Irgendwelche log-dateien untersuchen? Mehr weiß ich jetzt nicht in Moment.

Liebe Grüße
Christine

Openbugbounty.org ist eine offene Plattform. Menschen, die eine Sicherheitslücke gefunden haben, können sich dort melden und die plattform wiederrum wendet sich an den Seitenbetreiber. Ob die Lücke valide ist und ob der Reporter für seine Arbeit Geld verlangt hängt vom Einzelfall ab, grundsätzlich ist an dem Modell aber weder etwas unseriös noch kriminell.

Zitat von Johannes_Franz

genau dieses gefunden haben, ist eben so eine Sache. Warum sagt man, dann nicht was man entdeckt hat?

Nichts hält dich davon ab, beim Melder nachzufragen, was das Finding ist - in der Regel sind die sehr kooperativ.

Zitat von Johannes_Franz

Warum erst nach 30 oder nach 90 Tagen veröffentlichen? Damit andere diese Schwachstelle ausnutzen können?

Damit andere Nutzer wissen, um welche Seiten sie im Zweifelsfalle besser einen Bogen machen, weil es dort ja dann offenkundig Sicherheitslücken gibt um die sich niemand kümmert.

Oder anders gesagt: es mag auf dich wie eine Drohung wirken, aber im Security-Bereich ist es gelebte Best Practice: man meldet etwaige Sicherheitslücken immer erst an den Entwickler / Anbieter / Seitenbetreiber – und zwar entweder direkt, oder unter Zuhilfenahme solche Plattformen. Das erlaubt es den Verantwortlichen, eine Lücke zu beheben und erst danach wird die Lücke öffentlich. Das Verfahren nennt sich "Responsible Disclosure" und ist Industriestandard.

Johannes_Franz

Welche Drittanwendungen sind installiert?

Ob das seriös ist, dazu möchte ich nichts sagen, sonst bin ich hier aber zu 100% bei SniperSister

Aus guten Gründen hat sich das Schema so entwickelt, dass man Sicherheitslücken meldet und eine Frist gibt, bis man eine Sicherheitslücke öffentlich macht. Die ganze Problematik gibt es ja auch nicht erst seit gestern, sondern seit 30 Jahren.

Und gerade am Anfang hat man sich bei dem Hersteller gemeldet, wurde entweder ignoriert oder man wurde sogar angezeigt! Selbst bei den größten Anbietern. Mittlerweile haben diese aber häufig gute Programme, wo man sogar für das melden von Sicherheitslücken bezahlt wird. Der erste Fehler ist zu Denken, dass das Melden von Sicherheitslücken etwas schlechtes ist. Das ist eine Chance die Sicherheitslücke zu beseitigen.

Konkret zu deinem Fall.

Zitat

Warum erst nach 30 oder nach 90 Tagen veröffentlichen?

Damit keine anderen Kriminellen die Schwachstelle auch nutzen. Man gibt den Anbieter die Chance Sicherheitslücken zu schließen, bevor sie überall angekommen ist.

Zitat

Wenn man ihn kontaktiert, würde er die Schwachstellen offen legen und bei der Beseitigung mitwirken.

So geschrieben finde ich es komisch. Kontaktiere ihn, frage wie die Schwachstelle aussieht und sage, dass du eigenes Personal hast um die Schwachstelle zu schließen. Ich würde auch keinen Fremden "mitwirken" lassen, wenn er nicht seriös in meinen Augen ist. Das kann hier aber keiner beurteilen. Wenn er Geld sehen möchte, würde ich eher davon abraten. Vielleicht ist es auch nur eine Masche.

Die Seite auf Cross Site Scripting zu testen wäre aber ein einfacher Anfang.

Zitat von Johannes_Franz

Alle Erweiterungen aufzuzählen, wäre eher zu viel.

Je mehr Erweiterungen installiert sind, desto größer ist natürlich auch das Potenzial für Sicherheitslücken. Darum sollte man wirklich nur das installieren, was man braucht, und möglichst wenigen und seriösen Anbietern vertrauen.

Zitat von Johannes_Franz

Und eine Bedrohung für Nutzer gibt es nicht. Könnte aber durchaus entstehen. Um so wichtiger, dass man die Lücke benennt. Industriestand hin oder her, so hilft man niemanden. Im Zweifel aber sich selber.

Das behaupten beispielsweise alle Anbieter. Woher willst du wissen, dass keine Bedrohung für die Nutzer besteht? Das ist eine typische Standardfloskel der Anbieter und hört man immer wieder... bis das Ausmaß dann öffentlich wurde.

Zitat von Johannes_Franz

Richtig kooperativ wäre es, sich an den Betreiber der Webseite zu wenden. Kontaktmöglichkeiten sind genügend vorhanden. Aber nein, man wendet sich an eine andere Webseite und sagt, dass man etwas weiß.

Ich habe regelmäßig selber die Freude, Sicherheitslücken reporten zu dürfen und leider ist es der Regelfall dass man, insbesondere von Betreibern mit weniger Berührungspunkten zur Thematik, genau 3 Sorten von Reaktionen bekommt:

• 1. Garkeine Reaktion
• 2. Beleidigungen
• 3. Anzeigen

Insofern kann ich jeden Reporter verstehen, der eine entsprechende "Moderationsplattform" verwendet, um eine initiale Aufmerksamkeit zu bekommen und die seriösen Intentionen, die man verfolgt, zu unterstreichen.

Zitat von Johannes_Franz

Du hast Dir viel Mühe gegeben, viel geschrieben. Aber leider wenug gesagt zj meinen Fragen.

Du hast genau zwei Fragen gestellt, nämlich ob wir was unternehmen würden und wenn ja was. Ich dachte ich hätte das implizit getan, beantworte dir die Fragen natürlich gerne nochmal ganz explizit: Ich würde den Reporter kontaktieren und um Details bitten.

Zitat von Johannes_Franz

Und noch eine Anmerkung, wie ist der Mensch auf die Schwachstelle gestoßen?

Das wirst du den Kollegen wohl selber fragen müssen, in 95% der Fälle die mir unterkommen, werden automatisierte Prüftools verwendet

Zitat von Johannes_Franz

Alle Erweiterungen aufzuzählen, wäre eher zu viel.

Wäre aber für uns interessant.

Zitat von Johannes_Franz

Nach der Frist wird, es im ganzwn Qeb veröffentlicht, dann können Kriminelle es doch auch ausnutzen, oder?

Sicherheitslücken sollten schnellstmöglich behoben werden. Die Sicherheitsfixes werden dann veröffentlich und sollten zeitnah eingespielt werden. Gerade in Open-Source-Systemen ist das besonders wichtig. Leider gibt es zu viele Webseiten-Betreiber, die meinen sich Updates ersparen zu können, weil die Webseite doch einwandfrei läuft. Natürlich wird das ausgenutzt.