https://bankingportal.sparkasse-don...0width=%22310px
Quote:Die Web-Seiten für das Online-Banking vieler Sparkassen enthalten mehrere heftige technische Fehler, über die sich nahezu perfekte Phishing-Seiten erstellen lassen. Die dazu erforderlichen Angriffstechniken namens Cross Site Scripting (XSS) und Frame Spoofing sind bereits seit Jahren bekannt und sorgten in der Vergangenheit immer wieder für Schlagzeilen. Dass ausgerechnet die Login-Seiten eines ganzen Online-Banking-Portals dagegen anfällig sind, lässt eigentlich nur die Schlussfolgerung zu, dass sich die Verantwortlichen in den vergangenen Jahren nicht ausreichend um deren Sicherheit gekümmert haben.
Der erste Fehler wurde von Ulrich Keil entdeckt und auf einer Sicherheits-Mailingliste veröffentlicht. Ein Angriff darüber erfordert es, dass der Anwender auf eine speziell präparierte URL klickt, die allerdings direkt auf die Sparkassenseiten verweist. Einzige Auffälligkeit ist ein seltsamer Parameter mit einer weiteren URL. Die Web-Applikation der Sparkassen überprüft nämlich den Parameter KONTO nicht, sodass es möglich ist, in diesen speziellen HTML-Code einzubetten. Eine von Keil veröffentlichte Liste führt allein sechs anfällige Sparkassen-Filialen auf; nach Stichproben von heise Security ist sie jedoch längst nicht vollständig.
http://www.heise.de/newsticker/meldung/89885
![](http://www.1sttick.net/forum/images/avatars/14438913714530b39cef6f6.gif"</a){kind=link}