Das “Handelsblatt” gehört zu den größten Tageszeitungen im deutschsprachigen Raum. Mit 20.000 Auflagen täglich erfreut sich das Handelsblatt großer Beliebtheit, sowohl offline als auch online, wobei das Internet ein immer wichtigeres Medium wird. Grund genug für die Internetwache auch die Webpräsenz des Handelsblattes genauer zu betrachten.
Zu Anfang des Sicherheitschecks schien die Seite recht gut programmiert zu sein, ein stabiles Content Management System mit gefilterten Eingaben und sauber maskierten Parametern. Dieser Eindruck hielt recht lange, bis wir auf die erste Cross Site Scripting (XSS) Lücke gestoßen sind, welche aus einer kleinen Unachtsamkeit in der Filterung resultierte. Es handelte sich um ein Script, welches unter der Subdomain “abo” erreichbar war, und einen GET-Parameter ungefiltert wieder ausgab. Eine ähnliche Cross Site Scripting (XSS) Lücke fanden wir später in der normalen Suche, allerdings handelte es sich bei dieser Lücke um eine Post XSS Lücke.
Die nächste Lücke war mit Abstand die kritischste im ganzen Fall: Es handelte sich um eine SQL Injection im Bestellscript unter der Subdomain “abo”. Es wäre möglich gewesen, die Datenbankabfragen zu manipulieren, um zum Beispiel sein Abo ohne Kosten zu verlängern, oder an die Daten Dritter zu gelangen. Solche Lücken sind laut OWASP (Open Web Application Security Project) die am häufigsten vorkommenden Sicherheitsprobleme.
Nach Abschluss des Sicherheitstestes verschafften wir uns zunächst einen Überblick über die Lücken und entschieden uns, insbesondere auf Grund der kritischen SQL Injection, schnellstmöglich mit dem zuständigen Webmaster in Kontakt zu treten. Am 23.07.2012 sendeten wir eine ausfühliche Email an den Webmaster. Glücklicherweise konnte man von der Kontaktseite die zuständige Person sofort entnehmen, sodass eine umständliche Weiterleitung, welche mit erhelichem Zeitaufwanf verbunden wäre, vermieden werden konnte. Wir bekamen nach weniger als 24 Stunden unserer Mail, eine sehr freundliche Antwort in der es hieß, dass man sich zeitnah um die genannten Sicherheitslecks kümmern würde.
Das tat man schließlich auch, bereits 4 Tage nach Meldung waren sämtliche XSS Lücken geschlossen. Das Entwicklerteam der Webseite des Handelsblattes hielt mit uns bezüglich der SQL Injection Rücksprache, und erbat weitere Details zu dem Problem, welche wir Ihnen ausführlich lieferten. Bereits einanderhalb Tage später wurde auch diese Lücke behoben.
Von der Dauer her hätte die Behebung der Lücken noch etwas rascher sein können, da die Lücken offensichtlich die Daten Dritter gefährdet hat. Häufig, wie auch in diesem Fall, findet man ein Entwicklerteam, welches sich intensiv mit der Problematik auseinandersetzt und sich darum kümmert. Eine schnelle und zielgerichtete Kommunikation ist in vielen Unternehmen oft eine Problematik, doch diese scheint das Handelsblatt nie gehabt zu haben. Man erreichte sofort die zuständige Personen, welche einem absolut freundlich und äußerst kompetent Eindruck erweckten.
Wir bedanken uns ganz herzlich beim Support- und IT-Team des Handelsblattes für den kompetenten Umgang und schließen hiermit diesen Fall ab.
Das Team der Internetwache
Screenshots
