Sicherheitslücke? Fremdes Javascript per Suchfeld-Eingabe

[nmueller]

Hallo liebe Leute,

ich bin gerade etwas ratlos und finde im Web zwar Anhaltspunkte, weiß aber noch nicht so genau wie ich das Problem lösen kann. Vielleicht könntet Ihr mir auf die Sprünge helfen.

Wir haben heute von einem Kunden folgende Mail erhalten:

Sehr geehrte Damen und Herren,
auf Ihrer Website gibt es eine Sicherheitslücke. Über das Feld \"Suchen\" lässt sich Scriptcode ausführen.

Es ist möglich JS von einem anderen Server aufzurufen und z.B. die Session-ID bzw.User-ID zu ermitteln.
Bitte schließen Sie diese Lücke schnellstmöglich!

Anbei ein Screenshot nach der Ausführung des JS.

Screenshot sollte anhängen, Website ist www.x-comics.de

Ich hab die Suche hier im Forum auch schon bemüht, allerdings keine passenden Threads mit den von mir benutzten Suchbegriffen gefunden. Wie gesagt, im Web hab ich das ein oder andere zu dem Thema entdeckt, aber halt nicht sonderlich speziell. Jemand eine Idee?

Liebe Grüße und Danke, Nina

 

[alibaba-nr1]

AW: Sicherheitslücke? Fremdes Javascript per Suchfeld-Eingabe

Wo ist da der Aufruf von einem anderen Server? Es wurde lediglich JavaScript in das Suchfeld eingegeben. Das ist so als lägen die Skripte direkt auf deinem Webspace.

 

[nmueller]

AW: Sicherheitslücke? Fremdes Javascript per Suchfeld-Eingabe

jo, tun sie aber nicht, und sollt auch nicht so sein. es ist "fremdes" javascript, ob's nu woanders liegt oder nicht ist da erstmal zweitrangig.

Kann ja nicht Sinn der Sache sein das man über nen Suchfeld js ausführen kann und ich weiß halt nu' nich' wie ich dem entgegenwirken soll.

 

[ag-websolutions.de]

AW: Sicherheitslücke? Fremdes Javascript per Suchfeld-Eingabe

also ich habs noch nicht geschafft über das Suchfeld eine XSS auszulösen

 

[david]

AW: Sicherheitslücke? Fremdes Javascript per Suchfeld-Eingabe

Vielen Dank für den Hinweis, wir nehmen diesen natürlich ernst und prüfen, ob hier eine Schwachstelle vorliegt.

Wenn eine Schwachstelle vorliegen sollte, werden wir diese schnellstmöglich beheben und kommunizieren, wie sich diese beheben lässt.

 

[nmueller]

AW: Sicherheitslücke? Fremdes Javascript per Suchfeld-Eingabe

danke

 

[david]

AW: Sicherheitslücke? Fremdes Javascript per Suchfeld-Eingabe

Ok, wir konnten das Problem nun reproduzieren.

Um es kurzfristig zu beheben, ist eine simple Änderung notwendig:

Im JTL-Shop3-Tiny Template in der Datei tpl_inc/suche_header.tpl die folgende Zeile (Nr 115 in original 3.11 Template) suchen und komplett entfernen (die komplette Zeile):

{if $NaviFilter->EchteSuche->cSuche|count > 0}<input type="hidden" name="suche" value="{$NaviFilter->EchteSuche->cSuche}">{/if}

Mit 3.12 ist das Problem behoben (wird dann bereits durch Shop-Code abgefangen, Template-Änderung ist dann nicht mehr notwendig).