Sicherheitslücke auf der Website der Bahn
Donnerstag, 7.7.2011, 08:31 > daMaxIm so furchtbar komplizierte Begriffe wie "Cross-Site-Scripting" und so nen Krams zu vermeiden, erzähle ich euch den Sachverhalt auf Deutsch. Dafür gehen natürlich ein paar Feinheiten verloren, die ihr vielleicht bei Netzpolitik nachlesen könnt wenn ihr wollt.
Die Website www.die-bahn.de (und alle ähnlichen Bahn-Websites) hat zur Zeit ein scheunentorgroßes Loch, das es erlaubt, Anmeldedaten der User zu "klauen" und damit wer-weiß-was anzustellen. Das ist eine Riesenscheiße. Entdeckt wurde das Ganze von Manuel Blechschmidt, der - nett wie er ist - die Bahn schon am 29.6. darauf aufmerksam gemacht hat.
Passiert ist: nix. Das zeigt, wie groß das Interesse der Bahn an ihren Kunden ist. Naja. Wenn es sich vermeiden lässt, meldet euch also besser nicht an der Bahn-Website an sondern kauft die Tickets lieber am Automaten oder am Schalter. Sobald ich davon erfahre, dass die Sicherheitslücke gestopft ist, werde ich euch davon in Kenntnis setzen.
Es folgt die Mail von Manuel:
Sehr geehrte Frau C. N.,
aus Zufall habe ich eine sogenannte XSS Lücke auf Ihrer Website gefunden.Der folgende Link führt Sie zuerst auf die reiseauskunft der Bahn und anschließend werden alle Ihre Cookies von bahn.de an eine von mir präparierte Website geschickt: [Link entfernt, L.N.]
Ihre Cookies werden bei mir gespeichert. Diese Vorgehensweise dient lediglich der Demonstration der Lücke und ich werde diese Daten nicht für einen Angriff nutzen.
Ich habe überlegt, ob ich mich mit dieser Lücke an die Öffentlichkeit oder an eine Exploitbörse wenden solle, allerdings möchte ich erstmal ihnen die Chance geben sie dazu zu äußern und die nötigen Maßnahmen einzuleiten.
Diese Sicherheitslücke auf Bahn.de könnte potentiell dafür genutzt werden um Benutzerdaten zu entwenden, Passwörter zu ändern oder auch Tickets auf fremde Namen zu buchen.Eine kurze Prüfung von mir hat ergeben, dass Sie die Session ID, die für die Sicherung der Logindaten verantwortlich ist, nicht als Session Cookie speichern, allerdings schließt das nicht aus, dass an anderen Stellen wie z.B. im Buchungsdialog dieser Cookie entwendet werden kann.
Es ist auch nicht nötig, dass man direkt auf diesen Link klickt. Eine präparierte Facebook App oder eine andere Website wie Spiegel.de könnte ausreichen um hier großen Schaden anzurichten.
Ich würde Sie darum bitten mir bis zum 6.7. mitzuteilen, wie Sie dieses Problem lösen wollen. Weiterhin würde ich mich über eine kleine Anerkennung z.B. einen Gutschein der Deutschen Bahn freuen.
Schönen Gruß und viel Erfolg beim Fixen
Manuel Blechschmidt
http://netzpolitik.org/2011/bahn-de-xss-sicherheitslucke/#comment-429012
[...]
Am 8.7. um 11:53 (also vor circa 4 Stunden) wurde ein Hotfix eingespielt, der die Lücke behebt. Ich kann dies bestätigen.
[...]