Nachweis f├╝r XSS-L├╝cke auf der Cyberforum-Webseite

Mehrere Schwachstellen im neuen Portal des CyberForums

Sicherheitsforscher von aramido haben auf der Seite des CyberForums mehrere Sicherheitsl├╝cken gefunden. Diese L├╝cken wurden im Rahmen des Vorgehens zum verantwortlichen Offenlegen von Sicherheitsl├╝cken dem Betreiber der Seite gemeldet. Nach Aussagen des CyberForums wurde die Seite inzwischen mit Updates zu den L├╝cken aktualisiert. Dieser Artikel beschreibt die vorgefundenen L├╝cken, da sie so oder so ├Ąhnlich bei vielen anderen Webseiten mit von Nutzern erstellten Inhalten vorkommen k├Ânnen.

Die CyberForum-Webseite als Prototyp einer Community-Webseite

Das CyberForum ist mit ├╝ber 1.000 Mitgliedern eines der gr├Â├čten Netzwerke f├╝r Hightech- und IT-Unternehmen in Europa. Mitglieder sind Unternehmen aus dem gesamten s├╝dwestdeutschen Raum. Mit seinen verschiedenen Angeboten f├╝r Unternehmen, Startups, Investoren, Auszubildenden und Studenten ist das CyberForum ein starker Standortfaktor insbesondere f├╝r die TechnologieRegion Karlsruhe. Als IT-Unternehmen ist die aramido GmbH selbstverst├Ąndlich auch Mitglied im CyberForum und wei├č das vielseitige Angebot sehr zu sch├Ątzen. Mit dem Launch der neuen Webseite auf Basis von Typo3 am 20.07.2016 hat das CyberForum verschiedene Angebote f├╝r die Mitglieder eingef├╝hrt. Diese k├Ânnen neben der Pflege eines eigenen Profils auf der Seite Nachrichten einstellen, Termine ank├╝ndigen und Stellenanzeigen schalten. Zum Erstellen dieser Inhalte wurde auf den Open Source Medium Editor als Rich Text Editor zur├╝ckgegriffen.

Persistentes Cross Site Scripting (XSS) auf der CyberForum-Webseite

Die erste von aramido gefundene Sicherheitsl├╝cke betrifft das Erstellen von neuen Inhalten. Eine der Grundregeln sicherer Softwareentwicklung und damit auch Schwerpunkte der Secure Coding Schulung von aramido ist es s├Ąmtliche Nutzereingaben serverseitig zu validieren und s├Ąmtliche Ausgaben zu maskieren. Diese Regeln wurden offensichtlich nicht eingehalten. Stattdessen wurde eine clientseitige Validierung des JavaScript Rich Text Editors verwendet. Grunds├Ątzlich ist eine ├ťberpr├╝fung auf der Client-Seite nur ein Feature zur Verbesserung der Benutzbarkeit einer Seite, aber keine Sicherheitspr├╝fung, da Eingaben vor dem Absenden zum Server von Angreifern trotzdem beliebig manipuliert werden k├Ânnen. Durch die unzureichende Validierung und Maskierung von Nutzerinhalten war es jedem mit Zugang zu einem Mitgliedskonto m├Âglich JavaScript-Code dauerhaft auf der Webseite des CyberForums zu speichern. Im aramido Sicherheitshinweis ARAMIDO-2017-001 finden Sie weitere Informationen zu dieser persistenten XSS-Sicherheitsl├╝cke.

Fehlender Autorisierung beim Bearbeiten und L├Âschen von Artikeln

Bei der ├ťberpr├╝fung des Behebungsstands der XSS-Sicherheitsl├╝cke sind den aramido Sicherheitsforschern weitere Sicherheitsl├╝cken aufgefallen, die in Kombination sogar noch schwerwiegender gewesen w├Ąren, als die zuerst entdeckte XSS-L├╝cke. Durch eine fehlende ├ťberpr├╝fung der Zugangsberechtigungen von angemeldeten Nutzern gepaart mit einer Cross Site Request Forgery (CSRF) Sicherheitsl├╝cke w├Ąre es einem Angreifer m├Âglich gewesen eine manipulierte Webseite zu bauen, die beim Besuch durch ein eingeloggtes CyberForum-Mitglied s├Ąmtliche nutzergenerierten Inhalte aller CyberForum-Mitglieder gel├Âscht h├Ątte. Diese Sicherheitsl├╝cken wurden im Sicherheitshinweis ARAMIDO-2017-002 Unautorisiertes Bearbeiten und L├Âschen von Inhalten der CyberForum Webseite zusammengefasst und dem Betreiber gemeldet.

Fazit

Die gefundenen Sicherheitsl├╝cken sind typische Schwachstellen von Webanwendungen, die die Pentester von aramido regelm├Ą├čig auch in Penetrationstests von Webanwendungen entdecken. Deshalb lautet die Empfehlung: Neue Webseiten und andere Anwendungen sollten vor einer Ver├Âffentlichung und nach ma├čgeblichen ├änderungen durch einen Penetrationstest von unabh├Ąngigen Dritten ├╝berpr├╝ft werden.

Die aramido GmbH bedankt sich f├╝r die gute Zusammenarbeit mit dem CyberForum w├Ąhrend der Schwachstellenbehebung. Nach Aussage des CyberForums wurde den Schwachstellen inzwischen durch Updates der Webseite begegnet.

Wir begleiten Sie gerne auf dem Weg der sicheren IT. Bitte senden Sie uns eine Anfrage per E-Mail. Wir rufen Sie zeitnah zur├╝ck und kl├Ąren mit Ihnen die Details f├╝r ein verbindliches Angebot ab.