XSS Gefährdung durch Sitelock erkannt

xCiiD · May 16th 2014

Guten Tag!

Wir verwenden für unsere webseiten einen service welcher diese nach sicherheitslücken absucht. Dieser wird von https://www.sitelock.com/ angeboten. Nun haben wir diese Fehlermeldungen bekommen:

URL: http://domain.com/index.php/RegisterActivation/?=Absenden&activationCode=1&&username=1
Beschreibung: ,activationCode,t,username

URL: http://domain/index.php/RegisterActivation/?=Absenden&activationCode=1&&&username=1
Beschreibung: ,activationCode,s,t,username

Die beschreibung ist für uns weniger als nichts sagend. Die Seite allerdings ist diese auf jener man den 9 stelligen Aktivierungskaskade eingibt. Wenn dies jemandem im zusammenhang mit Cross-Site-Scripting (XSS) etwas sagt würde ich doch darum bitten sein wissen mit uns zu teilen

**Joshua Rüsweg** · May 16th 2014

Ja, es ist defitiv (zumindest zum Teil) eine Lücke: https://github.com/WoltLab/WCF/pull/1725

Der Aktivation-Code ist durch intval() abgesichert.

@Alexander Ebert

Danny Koehler · May 16th 2014

Hm... Ich würde mich freuen, wenn sich dazu ein Woltlab Entwickler meldet. Ist es eine Lücke, wo Handlungsbedarf besteht? Macht die von Josh bei githup genannte Lösung Sinn?

**Marcel Werk** · May 16th 2014

Ein Update, das dieses Problem behebt, steht inzwischen über den Update-Server zur Verfügung.

XSS Gefährdung durch Sitelock erkannt

Participate now!

Share