Der Spiegel gehört zu den gängisten Nachrichtenmagazinen in Deutschland. Der Spiegelverlag merkte früher als viele Konkurrenten, dass es wichtig wäre sich auf dem neuen Markt des Internets zu positionieren und hatte bereits 1994 eine entsprechende Webpräsenz. Heute erfreut sich der Dienst immernoch großer Beliebtheit, die Webpräsenz zählt zu den reichweitstärksten in Deutschland. Insbesondere durch Übersichtlichkeit und viele anschauliche Applikationen macht das Surfen auf Spiegel.de viel Spaß - allerdings sollte dabei die Sicherheit nicht zu kurz kommen…
Wir entdeckten zwei Cross Site Scripting Lücken auf zwei separaten Unterseiten der Spiegelonline-Domain. Einmal im Quiz unter “kopfsache.spiegelonline.de” und einmal auf der Loginseite für die Studenten-WG unter “studenten-wg.spiegelonline.de”.
Am 16.06.2012 setzten wir einen Tweet an Spiegelonline ab, und fragen nach einer Ansprechpartner für die Sicherheitslücken.
@SPIEGEL_alles Wir haben Sicherheitslücken auf Ihrer Webseite entdeckt. Wie können wir Kontakt aufnehmen? DM oder Email? MfG
— Internetwache (@internetwache) September 16, 2012
Zwei Tage später erhielten wir eine Antwort und schickten die Email an den technischen Leiter. Dieser teilte uns daraufhin mit, dass die zwei Webseitenbereiche von separaten Dienstleistern betreut würden, und er habe diese über die Schwachstellen informiert.
Eine Woche später wurde die Cross Site Scripting (XSS) Lücke auf der Studenten-WG Seite behoben. Die Information über die Schließung der zweiten Lücke erhielten wir mit der Rückmeldung am 28.09.2012. Man teilte uns mit, dass die Sicherheitslücken nun behoben seien und bedankte sich herzlich für unsere Mühen.
Wir möchten uns für den relativ schnellen Fix bei Spiegelonline bedanken und schließen hiermit diesen Fall ab.
Das Team der Internetwache.org
Screenshots:
