ZDF schließt mehrere XSS Lücken

Das ZDF ist eine der größten öffentlich-rechtliche Rundfunkanstalt. Das ZDF strahlt seit 2001 auch Sendungen auch via Livestream im Internet aus. Wir überprüften das Internetangebot auf Schwachstellen und fanden einige Patzer.

Die Mediathek des ZDF bietet mittlerweile viele Sendungen auch als Video-on-Demand. Neben dem Hauptsender gibt es auch noch ZDFinfo, ZDFneo und ZDFkultur. Diese Kanäle werden, ebenfalls über eine Subdomain von zdf.de zur Verfügung gestellt.

Die Webseite und die Unterseiten machten zunächst einen technisch sehr gepflegten Eindruck. Nach einiger Suche auf der entsprechenden Webseite sind wir auch schon auf die ersten Auffälligkeiten gestoßen. Zum einen gab es eine klassische XSS (Cross-Site Scripting) Lücke in einer Suchfunktion der Kinderseite, welche unter der Domain tivi.zdf.de zu erreichen ist. Zum anderen fanden wir einen Parameter in einem Quiz welcher ungefiltert zurückgegeben wird, was ebenfalls eine XSS (Cross-Site Scripting) Angriffsmöglichkeit hervorruft.

Wir informierten umgehend den zuständigen Webmaster per Mail am 10.06.2012. Leider erhielten wir zunächst keine Antwort und die Lücken wurden innerhalb der folgenden 5 Tage nicht geschlossen. Daraufhin setzten wir uns telefonisch mit der entsprechenden Abteilung in Verbindung, man teilte uns jedoch mit, dass bei der Technik im Moment niemand da sei, da momentan alle im Urlaub seinen. Man war sehr höfflich und gab uns eine entsprechende Mail der IT-Abteilung,an welche wir uns wenden sollten. Nach einer Weiterleitung der Hinweise bekamen am 21.06.2012 eine freundliche Email mit der Mitteilung, dass die Lücken nun behoben sein.

Wir bedanken uns bei dem IT Team des ZDFs für den kooperativen Umgang. Oft ist es schwierig direkt mit der IT-Abteilung in Kontakt zu treten, da keine konrkete Email z.B. des Webmasters auf der Seite genannt wird. Die Meldung muss dann erst durch mehrere Abteilungen, bis sie schließlich den entsprechenden Ansprechpartner erreicht.

Das Team der Internetwache.org

Screenshots

Screenshot der Cross Site Scripting Lücke

Screenshot der XSS