Kategorien

    Sicherheitslücke bei Lieferando.de

    "Das Suchfeld von Lieferando.de überprüft Eingaben offensichtlich nicht ausreichend, sodass Angreifer einem Webbrowser Code via Cross-Site-Scripting (XSS) unterschieben können, den dieser dann ausführt. So können Angreifer etwa Cookies auslesen und auf diesem Weg die Kontrolle über Nutzer-Konten erlangen."
    heise.de/new…tml

    So,... einmal bitte melden, wer noch Gutscheine/Guthaben auf seinen Account hat, am besten Benutzernamen direkt mit posten,... ThxU

    8 Kommentare

    lol

    XSS ist nur clientseitig.
    In diesem Fall meiner Meinung nach völlig ungefährlich.

    diebspiel

    XSS ist nur clientseitig. In diesem Fall meiner Meinung nach völlig ungefährlich.



    Da hat aber wohl jemand nicht aufgepasst. Dir ist schon bewusst das XSS auf einer anderen Domain ausgeführt werden kann?

    Ich rufe xyz.de auf, und xyz.de führt die XSS auf lieferando.de aus. Und sendet diese dann per Ajax an den Server von xyz.de

    diebspiel

    XSS ist nur clientseitig. In diesem Fall meiner Meinung nach völlig ungefährlich.


    Brauch doch nur einer hier nen Deal zu erstellen und den Link zu manipulieren. Schon ist jeder der den Deal-Button klickt betroffen

    diebspiel

    XSS ist nur clientseitig. In diesem Fall meiner Meinung nach völlig ungefährlich.



    Das würde ich als Angreifer auch behaupten

    Sollange man die richtigen Erweiterungen hat ist XSS in der Tat recht bedeutungslos.

    Auch für Bestandskunden?

    Suche xss Code, biete nix

    Dein Kommentar
    Avatar
    @
      Text
      Top Diskussionen
      1. Günstige Krankenversicherung für Langzeitreise gesucht1011
      2. Sky Go App Xbox 360 ab 13.09.2017 weg1319
      3. 15 fach Punkte abgelehnt bei Payback wegen erneuter Bestellung!57
      4. Klage wegen Gewährleistungsablehnung / Jemand Erfahrungen?2148

      Weitere Diskussionen