Sicherheitslücke bei Lieferando.de

"Das Suchfeld von Lieferando.de überprüft Eingaben offensichtlich nicht ausreichend, sodass Angreifer einem Webbrowser Code via Cross-Site-Scripting (XSS) unterschieben können, den dieser dann ausführt. So können Angreifer etwa Cookies auslesen und auf diesem Weg die Kontrolle über Nutzer-Konten erlangen."
heise.de/new…tml

So,... einmal bitte melden, wer noch Gutscheine/Guthaben auf seinen Account hat, am besten Benutzernamen direkt mit posten,... ThxU

8 Kommentare

lol

XSS ist nur clientseitig.
In diesem Fall meiner Meinung nach völlig ungefährlich.

diebspiel

XSS ist nur clientseitig. In diesem Fall meiner Meinung nach völlig ungefährlich.



Da hat aber wohl jemand nicht aufgepasst. Dir ist schon bewusst das XSS auf einer anderen Domain ausgeführt werden kann?

Ich rufe xyz.de auf, und xyz.de führt die XSS auf lieferando.de aus. Und sendet diese dann per Ajax an den Server von xyz.de

diebspiel

XSS ist nur clientseitig. In diesem Fall meiner Meinung nach völlig ungefährlich.


Brauch doch nur einer hier nen Deal zu erstellen und den Link zu manipulieren. Schon ist jeder der den Deal-Button klickt betroffen

diebspiel

XSS ist nur clientseitig. In diesem Fall meiner Meinung nach völlig ungefährlich.



Das würde ich als Angreifer auch behaupten

Sollange man die richtigen Erweiterungen hat ist XSS in der Tat recht bedeutungslos.

Auch für Bestandskunden?

Suche xss Code, biete nix

Dein Kommentar
Avatar
@
    Text
    Top Diskussionen
    1. 10 Euro Amazon Gutschein für 60-Minuten-Onlinestudie Zeiterleben4786
    2. led stripe Deal 2x 10 mehr glaub33
    3. Christian Lutz Schoenberger ist zurück...1415
    4. Amazon Storno ohne Mailbestätigung79

    Weitere Diskussionen