25.09.2006 13:27
Mit Nat West und UBS haben zwei britische Banken auf einen Bericht von heisec UK über Lücken auf ihren Web-Seiten reagiert. Dabei scheint es, als habe UBS vorschnell reagiert: Ein kurzer Test zeigt auf, dass die Benutzereingaben weiterhin nicht zuverlässig gefiltert werden. So ist es möglich, HTML-Code in die Seite für den Online-Banking-Zugang einzubringen und den angezeigten Inhalt zu verändern.
![Bild 1 [400 x 357 Pixel @ 25,4 KB]](/imgs/18/1/6/2/3/1/0/cd8d23084d71c5a4.jpg)
Das Ergebnis eines heisec-Tests auf der UBS-Webseite am Montagmorgen.
Nat West nutzt weiterhin Frames auf seiner Login-Seite für das Online-Banking, aber der Name des anfälligen Frames wurde entfernt, so dass er nicht mehr adressiert werden kann. Dadurch können Hacker nicht mehr ohne weiteres durch Frame Spoofing Inhalte ersetzen. Komplexere Angriffe sind allerdings weiterhin möglich.
Vergangene Woche hatten Tests von heisec UK auf neun Internetauftritten von britischen Banken aufgezeigt, dass nur drei von ihnen immun gegen einfache Angriffe sind, mit denen sich nahezu perfekte Phishing-Seiten aufsetzen ließen. Die betroffenen Banken wurden informiert.
Siehe dazu auch:
(anw)
Themen-Forum Politik und Gesellschaft
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-165518
