Eines abends entschieden wir uns, die Seite von Neckermann.de auf Sicherheitsprobleme zu untersuchen und entdeckten einige kritische Funde. Die Hinweise waren Neckermann kein “Danke” wert.
Wir fanden jeweils eine Cross Site-Scripting Lücke (XSS) in der Erlebniswelt und der Urlaubswelt des Unternehmens. Ein Angreifer könnte damit den vermeintlich tollen Urlaub in einem Alptraum verwandeln, wenn dieser über diese Schwachstelle einen Betrug einfädelt. Dann würde das lange gesparte Geld nicht beim Unternehmen, sondern beim Kriminellen landen, denn dieser kann mit einer solchen Lücke das Verhalten und das Aussehen einer Webseite nach seinem Belieben verändern. Die wohl für XSS-Angriffe anfälligste Stelle einer Webseite ist oft die Suche. Die Entwickler der Webseiten hatten auch hier einen Patzer gelandet und vergessen die Eingabe bei der Ausgabe entsprechend zur entschärfen.
Zudem war es möglich, über eine nicht korrekt abgesicherte Weiterleitungsfunktion, einen Besucher auf eine fremde Seite weiterzuleiten.
Des Weiteren gab es mehrere SQL Injection Lücken in dem E-Card-System, mit dem man über Neckermann zu Ostern Grußkarten per Email verschicken konnte. Über eine SQL Injection kann ein Angreifer mit manipulierten Seitenaufrufen an die Inhalte der dahinterstehenden Datenbank gelangen, wodurch nicht selten Daten Dritte, wie Emailadressen, Passwörter oder Kreditkartendaten in die Hände Krimineller fallen.
Wir kontaktierten das Unternehmen am 23.06.2012, und man entgegnete diesen Problemen, indem man einfach die Inhalte unter den Subdomains “erlebniswelt”, “ostern” und “dancingw” löschte. Ob die Sicherheitsprobleme zuvor behoben wurden oder ob die gleichen, verwundbaren Scripte in Zukunft erneut eingesetzt werden, ist unklar, da leider keine Kommunikationsaufnahme der Gegenseite vorlag.
Da man es nicht für nötig halt, sich bei uns für diese Hinweise zu bedanken, oder sich wenigtens zurückzumelden, können wir leider keine direkte Aussage zur Schnelligkeit Neckermanns bei der Behebung treffen, da wir die Schwachstellen nicht täglich überprüfen.
Das Internetwache Team
Screenshots
