18.02.2007 12:54

Bank-Websites weiterhin anfällig für Cross Site Scripting

Einige anonyme Aktivisten weisen nach, dass immer noch zahlreiche Webseiten von Banken anfällig für XSS-Angriffe (Cross Site Scripting) sind. Bei rund 40 vornehmlich österreichischen Banken können sie über zusätzliche Variablen des URL und darin enthaltenen Verweisen auf fremde Quellen eigenen Code einschleusen und demonstrieren dies anhand von Links auf ihrer Web-Site, dem Phishmarkt :: at.

Solche Schwachstellen sind gefährlich, denn sie lassen sich beispielsweise von Phishern ausnutzen, die ihre Opfer über präparierte Links zu den Bankseiten lotsen und auf diesem Wege beispielsweise TAN und PIN abgreifen könnten. Selbst für Fachleute sind derart manipulierte Links nicht ohne weiteres zu erkennen, geschweige denn für die Kunden, die sich womöglich beim Online-Banking sicher fühlen.

Erklärtes Ziel der Gruppe ist es, mit der Veröffentlichung auf die Angriffsmöglichkeiten hinzuweisen und damit die betroffenen Banken zu zwingen, die Sicherheitslücken schnellstmöglich zu schließen. Sie sehen sich in der Tradition der ersten Phishmarkt-Aktion, die tatsächlich dazu führte, dass 30 Banken ihre Web-Auftritte überarbeitet haben. (uma/c't)

Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren

« Vorige | Nächste »

Kommentare lesen (95 Beiträge)

Themen-Forum Politik und Gesellschaft

heise Security

Programmieren von Exploits
Sieben Tutorials zeigen alles, was man wissen muss, um zuverlässige Exploits für Buffer Overflows in Software zu schreiben mehr...

TLS-Renegotiation-Schwachstelle erklärt
Anhand einfacher Grafiken zeigt Thierry Zoller, wie sich die TLS-Renegotiation-Schwachstelle ausnutzen lässt. mehr...

Security Operations von Innen
Im Security Operations Center (SOC) überwacht Symantec aus der Ferne die Netzwerke seiner Kunden auf Hackerangriffe und verdächtige Aktivitäten. Wir haben uns das SOC von innen angeschaut. mehr...