Aber bitte mit XSSahne!

Ich fürchte, ich habe zu lange geschwiegen und zu wenig getan (naja, getan hab ich schon einiges, nur nix veröffentlicht...).
Auf jeden Fall hab ich von ha.ckers.org die s.js geklaut und etwas angepasst, dadurch kann man den ganzen Sicherheitsfutzies jetzt noch kräftiger eins auswischen. Aber klickt selbst:

XSS in der Suche von bvr.de
XSS in der Suche von transtec.de
XSS in der Suche von pcgratis.de
XSS in der Suche von frag-mutti.de
XSS in der Suche von frag-vati.de
XSS im Login von friendscout24.de
XSS in Login-Error von jobscout24.de
XSS in der Suche von denic.de
XSS im Login von o2online.de (HTTPS!)
XSS in der Suche von haerting.de
XSS in der Suche von starkalender.de
XSS in der Suche von titus.de
XSS in der Suche von die-patrone.de (die ersetzen alle "-" mit " " aber lassen sonst alles zu!?)
XSS in der Suche von my-sad.de
XSS im 404-Error von faz.net
XSS im Logout-Screen von sskduesseldorf.de
XSS im Login von mdr.de

Macht also 17 Links, unter anderem Zeitungen, OnlineShops, Fernsehsender und MEINE BANK OMFG!!!elf
Diese habe ich übrigens am Montag um 11:30 angemailt, leider bis dato keine Rückmeldung und kein Fix. Schonnirgendwie traurig das Ganze.
Aber am härtesten finde ich die zwei Links in der Mitte, DENIC und o2, beides Firmen die einen Teil ihres Vermögens im Internet machen, und dann so was? Gibt es noch echte Sicherheit auf der Welt oder leben wir alle in einer Matrix, die uns SSL-Schlösser vortäuscht und unsere Daten aus späht?

Comments

SIYB wrote on 2007-02-14 18:49:

das is echt ne zumutung vor allem die sicherheitslücken bei banken, ich meine was soll das? wenn was passiert dann war der kunde unvorsichtig…

Send your comments to evgeni+blogcomments@golov.de and I will publish them here (if you want).