Die ÖBB-Homepage ist ab heute wieder über die Adresse öbb.at erreichbar. Damit war der JSP-Source-Code eine Woche lang ausspionierbar. Lang genug, um eine neue Sicherheitslücke zu finden: Der BahnShop weist eine gravierende Cross-Site-Scripting-Vulnerability auf, die es einem potenziellen Angreifer ermöglicht, beliebigen, schadhaften Code auf die Site zu schleusen. Dass der neu gestaltete Internetauftritt der ÖBB erhebliche Usability-Schwachstellen aufweist (fixe Seitenbreite >1000 Pixel, Popups, keine englische Version, unübersichtliche Gliederung gemäß der internen AG- und GmbH-Struktur), erscheint fast nebensächlich.
30.06.2005 Virtual Net
Kommentieren