Sicherheitslücke bei Lieferando.de

"Das Suchfeld von Lieferando.de überprüft Eingaben offensichtlich nicht ausreichend, sodass Angreifer einem Webbrowser Code via Cross-Site-Scripting (XSS) unterschieben können, den dieser dann ausführt. So können Angreifer etwa Cookies auslesen und auf diesem Weg die Kontrolle über Nutzer-Konten erlangen."
heise.de/new…tml

So,... einmal bitte melden, wer noch Gutscheine/Guthaben auf seinen Account hat, am besten Benutzernamen direkt mit posten,... ThxU

8 Kommentare

lol

XSS ist nur clientseitig.
In diesem Fall meiner Meinung nach völlig ungefährlich.

diebspiel

XSS ist nur clientseitig. In diesem Fall meiner Meinung nach völlig ungefährlich.



Da hat aber wohl jemand nicht aufgepasst. Dir ist schon bewusst das XSS auf einer anderen Domain ausgeführt werden kann?

Ich rufe xyz.de auf, und xyz.de führt die XSS auf lieferando.de aus. Und sendet diese dann per Ajax an den Server von xyz.de

diebspiel

XSS ist nur clientseitig. In diesem Fall meiner Meinung nach völlig ungefährlich.


Brauch doch nur einer hier nen Deal zu erstellen und den Link zu manipulieren. Schon ist jeder der den Deal-Button klickt betroffen

diebspiel

XSS ist nur clientseitig. In diesem Fall meiner Meinung nach völlig ungefährlich.



Das würde ich als Angreifer auch behaupten

Sollange man die richtigen Erweiterungen hat ist XSS in der Tat recht bedeutungslos.

Auch für Bestandskunden?

Suche xss Code, biete nix

Dein Kommentar
Avatar
@
    Text
    Top Diskussionen
    1. Gut & Günstig Schoko-Weihnachtsmänner mit krebsverdächtigen Mineralölen ver…99
    2. KFZ Versicherung / Leasing11
    3. Leises 15" Notebook mit hochwertiger Verarbeitung bis 1200,- €56
    4. Begrüßt bitte unsere beiden neuen Moderatoren5577

    Weitere Diskussionen