Bei der GMX Suche und der Web.de Suche gibt es eine Live-Suche. Sozusagen eine gefilterte Übersicht was aktuell gesucht wird. Wer sich das mal anschauen will kann das hier für Web.de und hier für GMX Suche tun.
OK, das ist ja ansich noch keinen Beitrag wert, wenn ja wenn da nicht eine Sache wäre, die da etwas kritischer zu betrachten ist. Denn wenn ihr mal ausprobiert nach „(script)alert(‚hijacked‘)(/script)“ -> (Hinweis: die Klammern mit eckigen Tags ersetzen) zu suchen, dann wird dieser Scriptaufruf direkt in der Livesuche ausgeführt und führt zum gewünschten Effekt bei denen die gerade die Livesuche anschauen. Damit kann man natürlich für jede Menge andere Sachen machen, es muss ja nicht zwangsläufig dieser harmlose Scriptaufruf sein! Übrigens kann man mit der alert Methode auch den „Badwordfilter“ testen, da die dieser erst bei der tatsächlichen Ausgabe in der Livesuche greift – die Meldung im alert jedoch nicht gefiltert wird. Einfach mal „sex“ oder andere Wörter in den „alert“ packen.
Generell ist das bei der GMX und Web.de Suche eh ein Problem, wenn man nach script-Anweisungen sucht, denn die werden auch in der normalen Web-Suche eiskalt ausgeführt! Nicht auszudenken, was passiert wenn man die Domain web.de oder gmx.net dafür mißbraucht um seinen Malicious Code so unters Volk zu bringen. Das Vertrauen in diese Domains ist ja in Deutschland doch recht hoch…
Autsch.
Hallo Uwe,
vielen Dank, dass Du uns auf dieses Issue hingewiesen hast! Mit dem heutigen Abend sollte diese Lücke allerdings geschlossen sein.
Beste Grüße
Eckardt Stach
Hallo Eckardt,
find ich toll, dass Ihr darauf reagiert habt.
Gruß
Uwe