INS-ecommerce

IT-Security-Problem? DerWesten mag mich nicht ...

Jetzt wollte ich mich mal bei www.derwesten.de als User registrieren, und dann kommt die folgende Meldung in einer schönen roten Box, statt einer vernünftigen Fehlermeldung:
Benutzer konnte nicht angelegt werden. Fehlermeldung:
(new JavaException("org.apache.axis.AxisFault: ; nested exception is: \n\torg.xml.sax.SAXParseException: Content is not allowed in prolog.", "/usr/local/helma_s3_1/apps/twoday_w1/custom/modules/modSso/code/Global/westeins.Sso.js", 292))


Alles klar? Tja, klar ist nur: Ein Programmierer hat nicht aufgepasst.

Und ja, der Fehler ist (von mir) reproduzierbar. Was in mir den unguten Verdacht aufkommen lässt, dass wegen der fehlenden oder fehlerhaften Überprüfung der Benutzereingaben der "Westen" unsicher und anfällig gegen XSS oder Injection Attacken sein könnte ...


Geschrieben von af in IT Security am: Montag, 29. Oktober 2007
Permalink

Tags: , , , , ,

Diesen Beitrag bei folgenden Diensten bookmarken:
del.icio.us - Digg it - Mister Wong - Technorati - Ruhr.com Suchmaschine

Kommentare
  • Ralf Montag, 29. Oktober 2007, 19:44 Uhr
    Ups. Der Westen läuft auf Basis von Helma/Antville? Super Sache, dann kann ja jeder selber im OpenSource nachschauen wo die besten Schwachstellen sind um die Webseite lahm zu legen.

    Ist doch irgendwie blöd wenn man der IT-Lösung seiner Freunde den Vorzug gibt anstatt sich nach etwas "besseren" umzusehen.

Nächster Artikel: iPhone - Telefon oder Telefonanlage? Beides!

Vorheriger Artikel: DerWesten: Noch mehr Unschönes beim WAZ-Portal