Wer schnell mal ein Wort in eine andere Sprache übersetzen oder mehrere Möglichkeiten für ein Wort haben will, wird das Internetübersetzungsportal dict.cc sicherlich kennen. Bei der alltäglichen Nutzung sind wir auf eine Cross Site Scripting (XSS) Lücke bei der Login Funktion gestoßen.

Ifixit sollte jedem, der sich schon einmal genauer mit Hardwarekomponenten von elektronischen Endbenutzergeräten (Handys, Navis, etc.) beschäftigt hat, ein Begriff sein. Auf dieser Internetplattform kann man sich über Reperaturmöglichkeiten der einzelnen Geräte informieren und selbst versuchen, seine Geräte zu reparieren. So spart man nicht nur Geld, sondern oft auch unnötige Zeit ohne das Gerät. Für technikversierte Benutzer ist die Internetseite auf jeden Fall einen Besuch wert, denn dort lernt man viel über Hardware. Leider sind die meisten Texte auf Englisch, allerdings gibt es schon teilweise deutsche Übersetzungen. Viele deutsche Newsportale, wie etwa golem.de nutzen ifixit als Informationsquelle.

Ob Farmville oder CityVille, sowie viele weitere Onlinegames; sie alle stammen aus dem Haus des US-amerikanischen Unternehmens Zynga, welches mit einem Umsatz von rund 850 Mio. USD im Jahre 2010 der Platzhirsch unter den Erstellern von Onlinegames oder Webapplikationen ist. Zynga hat, wie viele andere größere Unternehmen, (siehe Bericht Lastpass) eine sogenannte Hall of Fame in der sie sich bei Security Researchern mit einer Nennung bedankt, welche Lücken nach dem Prinzip des Responsible Disclosure übermitteln.

“Lastpass” ist ein Dienst zur Kennwortverwaltung. Der Dienst ist plattformunabhägig und bietet beispielsweise Plugins für alle gängigen Browser, um eine simple Verwaltung von Passwörtern zu ermöglichen. Natürlich ist der reibungslose und zugleich sichere Umgang mit Daten in diesem Bereich von besonderer Wichtigkeit, um den Benutzern ein Maximum an Benutzerkomfort und Sicherheit bieten zu können.

Uberspace ist ein Webhoster der besonderen Art. Statt komplizierte und unverständliche Webpanels anzubieten, bekommt man bei diesem shared Hoster sofort Shellzugriff. Ein weiteres Alleinstellungsmerkmal ist das Preismodell, bei welchem jeder selbst entscheiden kann, wie viel er zahlen möchte, sowie der kompetente und schnelle Support. Das sind die Gründe, weswegen wir die Webseite der Internetwache.org von Anfang an bei den Ubernauten hosten.

Die Cross-Site Scripting Lücke konnte man wegen einer Unachtsamkeit der Webseiteprogrammierer ausnutzen. Den Exploit konnte man zur Ausführung bringen, wenn man diesen an den “language” Parameter in der URL angehängt hat. Die anfällige Seite befand sich unter der Domain freeriatools.adobe.com, unter welcher man kostenlose Software herunterladen konnte.

Tedi ist ein großer Discounter in Deutschland, landesweit gibt es circa 1300 Tedifilialen. Wie jedes größere Unternehmen verfügt Tedi über eine Webpräsenz, über welche sie ihren Kunden über aktuelle Angelegenheiten, u.a. die Angebote und Öffnungszeiten informiert.

Mit über 83.000 registrierten Benutzern und über 35.000.000 hochgeladenen Bildern zählt abload.de wohl mit zu den größten Bildhostern in Deutschland. Der Dienst ist seit dem Jahr 2006 verfügbar und erfreut sich höchster Beliebtheit, welche wohl durch Benutzerfreundlichkeit (inituitive Bedienung, verschiedene Apps für Endgeräte, etc.) und die große Auswahl an Extras (Bildverkleinerung, Anpassung, etc.) erzeugt wird. Häufig sind genau solche bekannten und beliebten Webpräsenzen im Visier von Kriminellen, welche durch Ausnutzung von Sicherheitslücken versuchen Schaden anzurichten. Um solchen ungebetenen Besuchern zuvorzukommen haben wir uns mit dem Projekt auseinandergesetzt und haben einige Schwachstellen gefunden.

Im Laufe der Zeit sind wir mehrfach beim Online-Bezahldienst Paypal fündig geworden. Die Funde möchten wir hier entsprechend festhalten. Bei unserem ersten Fund handelte es sich um eine stark veraltete Wordpress-Installation.

Vor einigen Tagen versuchten wir uns am neu gestartetem Bug Bounty des Unternehmens meraki.com. Mit etwas Glück und Geduld wurden wir fündig.