Gruppen

    Sicherheitslücke bei Lieferando.de

    "Das Suchfeld von Lieferando.de überprüft Eingaben offensichtlich nicht ausreichend, sodass Angreifer einem Webbrowser Code via Cross-Site-Scripting (XSS) unterschieben können, den dieser dann ausführt. So können Angreifer etwa Cookies auslesen und auf diesem Weg die Kontrolle über Nutzer-Konten erlangen."
    heise.de/new…tml

    So,... einmal bitte melden, wer noch Gutscheine/Guthaben auf seinen Account hat, am besten Benutzernamen direkt mit posten,... ThxU

    8 Kommentare

    lol

    XSS ist nur clientseitig.
    In diesem Fall meiner Meinung nach völlig ungefährlich.

    diebspiel

    XSS ist nur clientseitig. In diesem Fall meiner Meinung nach völlig ungefährlich.



    Da hat aber wohl jemand nicht aufgepasst. Dir ist schon bewusst das XSS auf einer anderen Domain ausgeführt werden kann?

    Ich rufe xyz.de auf, und xyz.de führt die XSS auf lieferando.de aus. Und sendet diese dann per Ajax an den Server von xyz.de

    diebspiel

    XSS ist nur clientseitig. In diesem Fall meiner Meinung nach völlig ungefährlich.


    Brauch doch nur einer hier nen Deal zu erstellen und den Link zu manipulieren. Schon ist jeder der den Deal-Button klickt betroffen

    diebspiel

    XSS ist nur clientseitig. In diesem Fall meiner Meinung nach völlig ungefährlich.



    Das würde ich als Angreifer auch behaupten

    Sollange man die richtigen Erweiterungen hat ist XSS in der Tat recht bedeutungslos.

    Auch für Bestandskunden?

    Suche xss Code, biete nix

    Dein Kommentar
    Avatar
    @
      Text
      Top Diskussionen
      1. Wieviel würdet Ihr zahlen ?2427
      2. Klamotten Sales? (Jacken/Parkas)616
      3. Kaufberatung Smartwatch - Wofür benützt Ihr eure Smartwatch?2133
      4. Gearbest - Diebstahl1729

      Weitere Diskussionen