Bayernspd.de behebt mehrere SQL Injection Schwachstellen

Die Sozialdemokratische Partei Deutschlands (Kurzbezeichnung: SPD) ist eine deutsche Volkspartei und die älteste im Parlament vertretene Partei. Die Webseite bayernspd.de repräsentiert dabei einen von 16 SPD - Landesverbänden in Deutschland und ist somit die zentrale Anlaufstelle für alle online-Parteifragen in Bayern.

Im Juli sind wir auf mehrere kritische Error-Based SQL-Injection Schwachstellen auf der offiziellen Webseite der SPD in Bayern aufmerksam geworden und haben diese umgehend (am 16.07) an den Webmaster der Website weitergeleitet. Die Antwort ließ nicht lange auf sich warten und so gab es ein erstes noch unvollständiges Update bereits am 18.07.2013, welches die eindeutige Fehlermeldung der Datenbankabfrage aus der Ansicht entfernte. Leider waren die Lücken weiterhin via Blind-Injection Technik ausnutzbar, was durch weitere Tests bestätigt werden konnte. In enger Zusammenarbeit mit dem Webmaster, konnte aber auch dieser Einstiegspunkt evaluiert und beseitigt werden. Somit waren alle Lücken bereits am 20.07.2013 beseitigt und die Webseite war wieder ohne Bedenken nutzbar.

Sicherheitslücken auf Webseiten dieser Art haben eine besondere Brisanz, da an politischen Webseiten oftmals der Sicherheitsstandard gemessen wird und diese natürlich auch repräsentativ für die gesamte Partei oder sogar Deutschlands stehen. Immer wieder stehen politische Internetseite auch unter dem Angriff von Hackern, um politische Botschaften zu plazieren, so wurde dieses Jahr beispielsweise schon die Datenbank einer FDP Webseite veröffentlicht.

Wir möchten uns an dieser Stelle bei dem Webmaster der Webseite bayernspd.de für die schnelle Reaktion und die professionelle und freundliche Zusammenarbeit bedanken. Ein wirklich vorbildliches Verhalten, von dem sich der ein oder andere Webmaster ein großes Stück abschneiden kann.

Das Team der Internetwache.org

Screenshots:

SQL Injection auf bayernspd.de