25.09.2006 13:27

Britische Banken reagieren auf heise-Sicherheitstests

Mit Nat West und UBS haben zwei britische Banken auf einen Bericht von heisec UK über Lücken auf ihren Web-Seiten reagiert. Dabei scheint es, als habe UBS vorschnell reagiert: Ein kurzer Test zeigt auf, dass die Benutzereingaben weiterhin nicht zuverlässig gefiltert werden. So ist es möglich, HTML-Code in die Seite für den Online-Banking-Zugang einzubringen und den angezeigten Inhalt zu verändern.

Bild 1 [400 x 357 Pixel @ 25,4 KB]
Das Ergebnis eines heisec-Tests auf der UBS-Webseite am Montagmorgen.

Nat West nutzt weiterhin Frames auf seiner Login-Seite für das Online-Banking, aber der Name des anfälligen Frames wurde entfernt, so dass er nicht mehr adressiert werden kann. Dadurch können Hacker nicht mehr ohne weiteres durch Frame Spoofing Inhalte ersetzen. Komplexere Angriffe sind allerdings weiterhin möglich.

Vergangene Woche hatten Tests von heisec UK auf neun Internetauftritten von britischen Banken aufgezeigt, dass nur drei von ihnen immun gegen einfache Angriffe sind, mit denen sich nahezu perfekte Phishing-Seiten aufsetzen ließen. Die betroffenen Banken wurden informiert.

Siehe dazu auch: (anw/c't)

Banks react to heise Security demo, Originalartikel auf heise Security/UK

Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren

« Vorige | Nächste »

Kommentare lesen (41 Beiträge)

Themen-Forum Politik und Gesellschaft

heise Security

Programmieren von Exploits
Sieben Tutorials zeigen alles, was man wissen muss, um zuverlässige Exploits für Buffer Overflows in Software zu schreiben mehr...

TLS-Renegotiation-Schwachstelle erklärt
Anhand einfacher Grafiken zeigt Thierry Zoller, wie sich die TLS-Renegotiation-Schwachstelle ausnutzen lässt. mehr...

Security Operations von Innen
Im Security Operations Center (SOC) überwacht Symantec aus der Ferne die Netzwerke seiner Kunden auf Hackerangriffe und verdächtige Aktivitäten. Wir haben uns das SOC von innen angeschaut. mehr...