XSS-Lücke: McDonalds.de lädt unfreiwillig auf eine Runde Super Mario ein

**Ghandy** · 29. 07. 2011, 14:40

Wie wäre es zur Abwechslung mit einer Runde McMario statt einem Hamburger mit Cola? Eine kritische Sicherheitslücke auf der Webseite der Fastfoodkette erlaubt es, dem Portal Code unterzuschieben. In diesem überaus harmlosen Beispiel wurde mcdonalds.de der Link zu einem Flashgame untergeschoben. Cyberkriminelle könnten darüber aber auch versuchen, Logindaten oder Bankverbindungen zu erhalten.

zur News

**nexone89** · 29. 07. 2011, 14:49

Aral, Mc Donalds, warum werden diesen Konzernen immer so derartig geholfen? Das sind Mörder und Umweltverschmutzer (lnycht mich ruhig) aber so denke ich nunmal, da ich den Kapitalismus verachte. Sollen doch Kundendaten missbraucht werden letzendlich machen die Konzerne den Verlust.

**StaTiC** · 29. 07. 2011, 14:54

ja der Konzern hat einen Verlust. den schaden und Ärger aber der Kunde. geholfen wird weil es Gott sei dank noch Fachleute mit Ethik und Moral gibt.

**Ghandy** · 29. 07. 2011, 14:56

...die gerne mal eine Runde Super Mario zocken ;-)

**Toni327** · 29. 07. 2011, 15:02

Na geht doch, nach dem letzten Mal wunderte ich mich schon sehr wann wieder eine nicht persistente XSS Lücke dramatisiert wird

Über die Suche kann man XSS einschleussen, und wenn man einen ganz toll präparierten Link klickt kann man somit ein Flash Spiel einbinden. Und jetzt? Freut ihr euch jetzt?

Wenn ihr es persistent auf die Hauptseite bekommt schreibt ne News, das wäre eventuell lesenswert, so ist das leider komplett uninteressant.

**bigtuerke1** · 29. 07. 2011, 15:03

The web site you are accessing has experienced an unexpected error.
Please contact the website administrator.

The following information is meant for the website developer for debugging purposes.
Error Occurred While Processing Request
Invalid search criteria specified: "*">

Schade geht nicht mehr

**Toni327** · 29. 07. 2011, 15:04

Zitat von bigtuerke1

Schade geht nicht mehr

Doch, tut es.

**Ghandy** · 29. 07. 2011, 15:06

Mit FF geht es. Es gibt ja noch weitere Lücken aber die können wir noch nicht berichten.

**Version1** · 29. 07. 2011, 15:11

Zitat von bigtuerke1

Schade geht nicht mehr

doch, das spiel läd darunter

**darkcloud1987** · 29. 07. 2011, 15:13

Damit wärs lustiger gewesen

http://www.mcvideogame.com/

**IIWhiteHatII** · 29. 07. 2011, 15:20

Zitat von Toni327

Na geht doch, nach dem letzten Mal wunderte ich mich schon sehr wann wieder eine nicht persistente XSS Lücke dramatisiert wird

Über die Suche kann man XSS einschleussen, und wenn man einen ganz toll präparierten Link klickt kann man somit ein Flash Spiel einbinden. Und jetzt? Freut ihr euch jetzt?

Wenn ihr es persistent auf die Hauptseite bekommt schreibt ne News, das wäre eventuell lesenswert, so ist das leider komplett uninteressant.

Nun, ein "Normalo" wird genau diesen Gedanken haben. Ich kann daher deine Meinung nachvollziehen. Allerdings denken die Meisten so und das ist ein großer Fehler. Die Gefahr derartiger Schwachstellen wird sehr oft unterschätzt.

Nun stell dir mal vor, ein "böser Bub" weiß von der Lücke und nutzt diese aus. Er könnte theoretisch ein Formular erstellen, welches auffordert, persönliche Daten einzugeben, um einen Gutschein zu erhalten. Vielleicht auch noch Kontodaten für ein Gewinnspiel oder auch Paypal Zugangsdaten oder Kreditkarten-Infos für eine gefakte Bezahlung der Teilnahmegebühren oder eines super günstigen Angebots. Die eingegebenen Daten werden per Email an den Angreifer geschickt. Nun gründet dieser böse böse Junge vielleicht eine Facebook-Gruppe und verweist auf das Gewinnspiel bzw. die Gutscheine. Auch Foren für Sparfüchse oder dergleichen sind sicher dafür geeignet. Die Sache beginnt zu rollen und ehe man es aufhalten kann, gibt es tausende, wenn nicht sogar hunderttausende Geschädigte.

Das Beispiel mit den Flash-Games ist harmlos und sollte lediglich demonstrieren, dass dort noch weit mehr möglich wäre. Das man dies aber nicht öffentlich darstellen möchte, sollte nachvollziehbar sein. Es ist ja nicht Sinn der Sache, Anleitungen zu verteilen, sondern die Öffentlichkeit vor derartigen Sachen zu warnen.

Gerade weil es bei McDoof vor nicht allzu langer Zeit schonmal enorme Probleme gab, die unzähligen Leuten Schaden zugefügt haben und McDoof nun auch auf aktuelle Meldungen nicht wirklich reagiert (das Stopfen dauert eigentlich nur wenige Minuten), sollte ein öffentliches Interesse bestehen, das die Berichterstattung rechtfertigt.

**ViribusUnitis** · 29. 07. 2011, 15:25

Zitat von nexone89

Aral, Mc Donalds, warum werden diesen Konzernen immer so derartig geholfen? Das sind Mörder und Umweltverschmutzer (lnycht mich ruhig) aber so denke ich nunmal, da ich den Kapitalismus verachte. Sollen doch Kundendaten missbraucht werden letzendlich machen die Konzerne den Verlust.

Naja, lynchen will dich sicher keiner, aber den vogel zeig ich dir schon

Bist anscheinend vegetarier- ist ja ok. Aber wehe du benutzt auch nur einmal ein anderes öffentliches verkehrsmittel als die rikscha und wehe du hast jemals ein auto... oder ein mofa

**SuperGoody** · 29. 07. 2011, 15:26

Das erste Level geht mal garnicht

Ich bin zu doof dafür^^

**pr0g53r** · 29. 07. 2011, 16:25

die sind ja richtig schnell bei mcDoof. Jetzt ists schon vorbei mit dem SuperMarioGespiele

**nexone89** · 29. 07. 2011, 17:11

Zitat von ViribusUnitis

Naja, lynchen will dich sicher keiner, aber den vogel zeig ich dir schon

Bist anscheinend vegetarier- ist ja ok. Aber wehe du benutzt auch nur einmal ein anderes öffentliches verkehrsmittel als die rikscha und wehe du hast jemals ein auto... oder ein mofa

Ich besitze kein Auto, mein Fahrad genügt mir da ich in der Stadt lebe, ich esse Fleisch allerdings nicht von solchen Ketten wie Burger king. Ich muss mich auch nicht rechtfertigen weil ich diese Scheiße nicht abkann, wenn Du es gut findest wie Millionen von Tiere behandelt werden um letzendlich umgebracht zu werden und gut vermarktete bei Mc´s verkauft zu werden, wenn Du vergessen hast was jene Konzerne wie zb BP vor einiger Zeit unserem Planeten angetan haben, gut das ist alles dein Ding. Aber verschon mich mit diesem Argument, DU bist davon genauso abhängig also heiße es gut ! Ich bin für Alternativen nur will da niemand Geld investieren, da billiger schneller grausamer ebend mehr Geld bringt. Wo wir wieder beim Kapitalismus wären.