eXo Bay - HTML-Code als Kommentar hinterlassen

  • Hallo,


    in meiner leidenschaftlichen Position als Bug-Tester habe ich folgenden, meiner Meinung nach gravierenden Fehler gefunden.


    kurze Beschreibung

    Es ist möglich, jeden möglichen HTML-Code als Kommentar bei eXo-Bay zu hinterlassen.


    wie Reproduzierbar?

    Sobald man einen Beispieltext als Kommentar auf jedem x-beliebigem Gebot verfasst hat, ist es möglich mittels der "Untersuchen"-Funktion bei Google Chrome (und ähnlicher Funktionen anderer Browser) diesen Text zu ändern und jeden möglichen HTML-Code einzufügen.

    Dadurch kann man beispielsweise iFrames, schädliche Scripts, Browserspiele, Statistik-Codes, heimliche Passwörter-Abfragen und vieles unzähliges mehr einfügen.


    Dies ist eine gravierende Sicherheitslücke und sollte schnellstmöglich behoben werden. Jedes HTML- oder Scriptkind kann damit eine Menge Unfug anrichten. Im schönsten Fall kann man ein Browserspiel in der Kommentarfunktion spielen, im etwas unglücklichem Fall ist die Seite des eXo-Bay-Angebots völlig zerschossen und unbrauchbar und im allerschlimmsten Fall landen sensible Daten, wie IP-Adresse und Login-Informationen mittels Script auf dem Server eines Angreifers.


    Für weitere ausführliche Informationen stehe ich weiterhin gerne zur Verfügung.


    Mit freundlichen Grüßen


    AngryBirds1909

    Community - Förderungsprogramm

    DIC-Netzwerk

  • Vielen Dank vorab für den sehr schnellen Fix!


    Das ist nun zwar behoben, aber die Darstellung ist nun etwas ungünstig.

    Der HTML-Code der alten Absätze wird nun als Klartext angezeigt (was sicher selbsterklärend ist) und neue Absätze werden nun mit "\n" markiert.


    ris hat wohl mein Bugtest mitbekommen und hat bereits hier versucht iFrame's einzubinden, welche nun -zum Glück!- nicht mehr funktionieren. Während ich meine Tests noch direkt gelöscht habe, waren diese beiden Kommentare weiterhin für alle bis gerade einsehbar. Die Ergebnisse können hier eingesehen werden (öffentlicher Foren-Bereich!). Ist dies nicht zeitgleich projektschädigendes Verhalten und kann jemand nicht dafür zur Rechenschaft gezogen werden?

    Ich finde es besser, dass die Funktionen nicht mehr funktionieren, dafür aber die Sicherheit aller Spieler und des Servers gewährleistet ist.


    Nebenbei: Es ist weiterhin möglich, beim Erstellen von Angeboten endlos Zeit hinzuzufügen, welches Felix.Argyle  hier ausgenutzt hat. Dies geschieht mittels der gleichen Methode wie hier beschrieben. Kann man hier auch die entsprechende HTML-Injunktion verhindern?


    Mit freundlichen Grüßen


    AngryBirds1909