coole Erklärung zur Erstellung einer eigenen Website bzw. Onlineshop.
Kann nur DiroSign-Media recht geben, wäre schön wenn du da als PDF anbieten könntest.

LG

1. Ich weiß was XSS und XSRF ist. Und auch dass man XSS per POST injizieren kann. In dem Fall von oben war es allerdings JSONP.
2, Was unsere Kunden auf ihren Seiten machen, hat nichts mit dem von dir aus deinem ersten Kommentar gefundenen Script-Injection-Fall zu tun.
3. Meine Antwort hat sich auf den von dir geschilderten Fall bezogen, wo es meiner Meinung nach nicht ausnutzbar ist, trotzdem, wie geschrieben, nehme ich solche Hinweise ernst und es wurde innerhalb weniger Stunden gefixt.
4. Ich gebe quit.wo.saving Recht und gehe einen Schritt weiter: Die von dir beschriebene Injection ist auf der Seite http://www.jimdo.com. Du nennst es in einem Atemzug mit dem Jimdo-CMS, wo Benutzer auf _IHREN_ Seiten HTML/JS-Code eingeben können. Also:

a) Bitte nicht Sachen durcheinander mixen.
b) Man nennt ein System wie Jimdo auch Web-Content-Management-System. Natürlich können unsere User dort soviel Code reintun, bis sie blau werden. Dies ist ein elementares Feature.
c) Welches Gefahrenpotential dort hinter steckt, ist uns klar. Nämlich dieses, dass sich unser User selbst ein XSS in seine Seite einbauen kann, oder seine Seite zerschießen kann mit kaputten Javascripts wie while(1) alert(‘blah’); usw. Es ist aber zu keiner Zeit der Besucher eines Jimdo-Shops dadurch gefährdet, dass bei Jimdo HTML-Widgets erlaubt sind. Amazon kann in seinen Shop auch lustige Javascripts einbauen, die z. B. Sicherheitslücken im Browser ausnutzen, machen sie aber nicht, weil sie wohl doch einigermaßen ehrlich Geld verdienen wollen. Das denke ich von unseren Usern auch. Macht’s Klick? ;)
d) Deswegen surfst du wie ich wahrscheinlich auch mit NoScript.

Zusammengefasst ergibt das die sarkastische, aber sehr treffende Aussage: “=> Und ja: Das Gefahrenpotential ist gar nicht auszudenken, wenn jeder auf seiner eigenen Webseite einbauen kann, was er will. Finger Weg von unausgereiften Systemen wie dem Web !!!”

5. Ja, ich checke jeden Sonntag abend meine Firmen-Mails :)

Beste Grüße aus Hamburg

Sönke

Bist Du ganz sicher, dass Du mittels Post (oder Get) auf der von Dir gezeigten Webseite Code einschleusen konntest, ganz einfach indem Du XSRF mit XSS kombiniert hast? Wär’ ja mal interessant.

=> Und ja: Das Gefahrenpotential ist gar nicht auszudenken, wenn jeder auf seiner eigenen Webseite einbauen kann, was er will. Finger Weg von unausgereiften Systemen wie dem Web !!!

Meine Empfehlung hier nochmals – Finger weg von nicht ausgereiften Systemen, sonst wird das ganze recht schnell teuer.

danke für den Hinweis,

wir nehmen Sicherheitslücken natürlich sehr ernst. Den von dir genannten XSS-Fall haben wir bereits gefixt, auch wenn es sich hier um eine garnicht bis schwer ausnutzbare DOM-Based-XSS-Lücke handelte (nicht direkt per GET-Parameter injizierbar).

Du schreibst auch, dass du noch andere XSS gefunden hast. Hier würde ich mich über eine “responsible disclosure” Mail an soenke AT jimdo DOT com freuen. Vielen Dank!

PS: Falls du für das Suchen von Sicherheitslücken bei uns auch bezahlt werden willst, schau doch mal hier: http://de.jimdo.com/jobs/endgegner-m-w :-)

Besten Gruß aus Hamburg

Sönke

–> XXS gefunden nach 1 Minuten (und existiert noch einiges mehr an Lücken ;) ).

http://imggeek.de/img/yuW4j5Z217m2-jimdo.png