Ende November 2018 habe ich Conrad über eine XSS-Lücke in ihrem online Einzahlungsschein informiert. Die Seite übernimmt Parameter in der URL, ohne diese zu prüfen. Ausserdem werden die Informationen über eine ungesicherte Verbindung übertragen.

Ein alter Hut

Benutzereingaben darf man nie vertrauen. Durch die Lücke lässt sich beliebiges HTML und damit JavaScript, iframes, Applets etc. in die Seite einfügen. Eine an sich legitime Seite kann so zum verteilen von Malare verwendet werden. Da der Einzahlungsschein über eine ungesicherte Verbindung verlinkt wird, kann diese auch unbemerkt belauscht oder manipuliert werden.

Mitte Januar 2019 hat mir Conrad zwar geantwortet, dass die Rechnungen nun als PDF und über eine gesicherte Verbindung ausgeliefert werden. Die alte Seite st jedoch immer noch online – mit der Lücke: http://srv-conrad.ch/voka/voka_email.php?auftrag=%3Cscript%3Ealert(%27XSS%27)%3C/script%3E&kunde=%3Cscript%3Ealert(%27XSS%27)%3C/script%3E&betrag=%3Cscript%3Ealert(%27XSS%27)%3C/script%3E.

Für Firefox gibt es zwar ein Add-On, dass einen integrierten XSS Filter mitbringt, weitaus sicherer sind jedoch serverseitige Schutzmassnahmen wie bspw. Content Security Policy.