Logo von heise online

Suche
86

Banken-Seiten weiterhin unsicher

Im September berichtete das Computermagazin c't über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken, berichtet c't in der nächsten Ausgabe. Benjamin Strebel kam auf die gleiche Idee und konnte weitere Lücken aufdecken.

Anzeige

Bei der DKB-Bank und Cortal Consors ging es sogar ans Eingemachte. Über geschickt gewählte URLs konnte man Zugriff unter anderem auf Systemdateien des Servers erlangen. Über derartige Lücken lassen sich oft wichtige Daten auf den betroffenen Systemen ausspionieren. Die anderen Lücken ermöglichten vor allem wieder so genanntes Cross Site Scripting, das sich etwa für raffinierte Phishing-Attacken ausnutzen ließe. Häufige Ursache waren Zusatzangebote wie Börsenkurse (Hypo Vereinsbank, DAB), Finanzberatung (Postbank) oder ein Stellenmarkt (Allianz). Aber bei der WestLB, der HSH Nordbank und der Bank of Scotland waren sogar die Login-Seiten nicht ausreichend gesichert.

Nachdem heise Security die Banken über die Probleme unterrichtete, wurden diese innerhalb weniger Tage behoben. Das gilt im Übrigen auch für ein Sicherheitsproblem auf den Seiten der Credit Europe Bank, auf das der Sicherheitsberater Dirk Wetter die Bank zuvor bereits neun Monate auf verschiedenen Wegen aufmerksam machte. Ganz offenbar ist die Angst vor schlechter Presse immer noch eines der wichtigsten Antriebsmomente zur Verbesserung der Sicherheit. Zu diesem Schluss kommt auch Daniel Bachfeld in seinem Kommentar Druckerhöhung auf heise Security.

Die c't-Ausgabe 4/11 mit dem Artikel "Sicherheit: mangelhaft" erscheint am Montag, dem 31. Januar; Abonnenten sollten sie bereits am Samstag im Briefkasten haben. (ju)

86 Kommentare

Themen:

  1. l+f: Paypal kämpft mit XSS-Problemen

    l+f: Tor-Deanonymisierung zu 81% erfolgreich

    Nur weil keiner mehr über Cross Site Scripting berichtet ist es längst nicht tot.

  2. Android-Exploit schleust beliebige Apps ein

    Android-Exploit schleust beliebige Apps ein

    Wer ein Smartphone oder Tablet mit Android 4.3 oder älter nutzt, lebt gefährlich. Einmal mehr demonstriert dies ein neuer Exploit, der beim Aufruf einer Webseite ungefragt Apps auf das Gerät schmuggelt. heise Security hat das mal ausprobiert.

  3. l+f: Schwachstelle in Schwachstellen-Datenbank

    l+f: Adressleiste von Apples Safari leicht manipulierbar

    Vor Cross-Site-Scripting ist auch die nationale Schwachstellen-Datenbank der USA nicht gefeit.

  1. Aufspüren von CSRF-Lücken

    Wenn bösartige Webseiten den Router umkonfigurieren oder im Webmail-Frontend eine Weiterleitung einrichten ist meist Cross Site Request Forgery im Spiel. Der CSRFTester von OWASP spürt solche Lücken gezielt auf.

  2. c't-Labs: Neue Webseiten für c't

    Die neuen Steckbriefe bündeln alle Informationen zu einem Artikel in c't.

    Ab sofort bündelt ein Steckbrief auf ct.de zu jedem einzelnen c't-Artikel alle Informationen vom Forum bis zum Bonusmaterial. Das war weder der Anfang der Umbaumaßnahmen noch sind diese damit abgeschlossen. Begleiten Sie uns auf dem Weg zur neuen Webseite.

  3. RTFM: Eure Highlights

    c't 4/97

    Was verbindet Ihr mit der c't? Welche Geschichten fallen Euch spontan ein, wenn Ihr an die c't denkt? Welche Erlebnisse verbindet Ihr mit unserem Heft? Schreibt Sie auf und mailt sie uns.

  1. Jaguar F-Pace kurz vor seiner Premiere

    Jaguar F-Pace

    Für sein erstes SUV hat sich Jaguar einen ungewöhnlichen Ort ausgesucht: Die Tour de France 2015. Offiziell vorgestellt wird das SUV erst auf der IAA im September in Frankfurt. Wir zeigen schon heute erste Bilder und nennen die wichtigsten Konkurrenten

  2. Kosmische "Seifenblase": Spektakuläres Foto eines sterbenden Sterns

    Kosmische "Seifenblase": Spektakuläres Foto eines sterbenden Sterns

    Was aussieht wie eine Seifenblase, ist die abgestoßene Hülle eines sterbenden Sterns. Dessen UV-Strahlung lässt das Gas leuchten und zeichnet damit ein besonders schönes Foto, das an der Europischen Südsternwarte aufgenommen wurde.

  3. Gamescom 2015: Intels Skylake-Prozessoren für Übertakter

    CPUs Core i7-6700K und Core i5-6500K

    Intels sechste Generation der Core-i-Prozessoren startet mit den übertakterfreundlichen CPUs Core i7-6700K und Core i5-6600K. Zu den Neuerungen von Skylake zählen DDR4-Speicher sowie ein aufgebohrter Chipsatz mit PCI Express 3.0 und mehr USB-3.0-Ports.

  4. Gravitationslinse: Teleskop ALMA zeigt fast perfekten Einsteinring

    Gravitationslinse: Riesenteleskop ALMA zeigt fast perfekten Einsteinring

    Das Riesenteleskop ALMA hat begonnen, seine Leistungsfähigkeit zu zeigen. Astronomen haben damit eine Galaxie aus der Frühzeit des Universums aufgenommen. Das besondere: Eine Gravitationslinse hat das Bild zu einem Kreis gekrümmt.

Anzeige