Der Security Blog "Internetwache" hat kürzlich beim Filehoster XUP.in mehrere XSS Lücken gefunden. Über diese Lücke sei es dem Angreifer die Session ihrer Opfer zu übernehmen, oder Phishing bzw. Drive-By Downloads ausführen zu können.In verschiedenen Teilen der Webseite haben sich Lücken versteckt, so gab es in der Member-internen Suche ungefilterte Parameter. Auch im Kontaktformular hat sich eine Lücke versteckt. Über einen Fehler beim Anlegen eines Ordners bzw. beim Hochladen einer Datei in einen Ordner wäre es möglich gewesen Schadcode auf den Server zu laden und darüber Phishing bzw. Drive-By Downloads durchzuführen. Die Fehler wurde bereits vom XUP Team behoben:
Wir meldeten die Lücken mit den entsprechenden Informationen am Abend vom 10.07.2013 und erhielten bereits am nächsten Morgen (11.07.2013) eine freundliche Antwort, dass man die Sicherheitslücken beheben werde. Nach kurzen 2 1/2 Stunden erhielten wir eine Rückmeldung, dass die genannten und weitere Lücken behoben wurden.
Quelle:The post appeared first on .
Bearbeitet von 0xC3, 14 July 2013 - 12:01 Uhr.