Schwerwiegende Sicherheitslücke bei Amazon

Der Onlinehändler Amazon hat eine schwerwiegende Sicherheitslücke auf seiner Webseite geschlossen, durch die man unter anderem auf fremde Benutzerprofile zugreifen konnte. Nachdem heise Security das Unternehmen auf das Problem aufmerksam gemacht hatte. reagierte Amazon umgehend und beseitigte die Lücke. Betroffen waren neben Amazon.de anscheinend auch die anderen Amazon-Niederlassungen weltweit.

Durch Lücke konnte man eigenen JavaScript-Code auf dem Server des Onlinehändlers einschleusen, der dann im Browser anderer Kunden beim Aufruf der präparierten Seite ausgeführt wurde. Durch dieses sogenannte Cross-Site-Scripting (Persistent XSS) konnte man etwa Sitzungs-Cookies abgreifen, mit denen wir bei unserem Experimenten auf Klarnamen, Mailadressen und Einkaufskörbe zugreifen konnten. Ferner hätte man über die Lücke auch Zugangsdaten abgreifen (Phishing) oder Malware verbreiten können.

Hier können Sie die ganze Meldung bei heise-online lesen.

Schreibe einen Kommentar