02.07.2009 | Redakteur: Stephan Augsten
Am ersten Tag seines Month of Twitter Bugs hat Aviv Raff sich auf Cross-Site-Scripting-Fehler im URL-Shortening-Service Bit.ly konzentriert. Besondere Kritik erntet der Drittanbieter-Twitter-Dienst für seine schlechte Security-Respone-Rate: Insgesamt benötigte Bit.ly eineinhalb Monate, um einfache Sicherheitslücken zu schließen.
Unter knapp einem Dutzend anderer URL-Shortening-Services ist Bit.ly einer der bekanntesteten Anbieter für Kurz-URLs. Über einen Account können die User von ihnen generierten, komprimierten Weblinks nachverfolgen. Dieser Service ist in Firefox ebenso integriert, wie in Twitter-Anwendungen von Drittanbietern.
Als Schöpfer des Month of Twitter Bugs hat Aviv Raff die Bit.ly-Entwickler auf Anfälligkeiten für Cross Site Scripting (XSS) aufmerksam gemacht. Derartige Schwachstellen finden sich sowohl in der URL- und Keyword-Parametern als auch im User-Formularfeld der Login-Seite und im Inhaltstyp-Feld auf der URL-Infoseite.
Die Fehler wurden ursprünglich von den Sicherheitsforschern Mike Bailey und Mario Heiderich entdeckt und an Aviv Raff weitergegeben. Dieser kritisiert den Kurz-URL-Dienst für seine schlechte Security-Response-Rate.
Insgesamt habe „Bit.ly eineinhalb Monate benötigt, um simple XSS-Schwachstellen zu fixen“, heißt es auf der Month-of-Twitter-Bugs-Homepage twitpwn.com. Erst drei Stunden nach ihrer Veröffentlichung sei die letzte Sicherheitslücke geschlossen worden.
„Bit.ly hat eine große User Base“, schreibt Raff. „Mit solch einer miserablen Response-Rate auf Sicherheitsanfälligkeiten und einer derart schwach programmierten Webseite, können wir hinsichtlich der Sicherheit nur auf das Beste hoffen.“ Beim Klick auf Kurz-URLs solle man grundsätzlich Vorsicht walten lassen.
Über XSS-Fehler kann ein Angreifer schädlichen Code in einen Link einbetten, der scheinbar vor einer vertrauenswürdigen Quelle stammt. Beim Klick auf einen solchen Link wird der eingelagerte Schadcode als Teil der Client-Anfrage übertragen und anschließend auf dem Anwender-Rechner ausgeführt. In der Regel versuchen Hacker mit dieser Angriffsmethode, sensible Daten zu stehlen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2022792)
