Nach Entdeckung von XSS (Cross-Site-Scrpting) Lücken auf swisscom.com und im SF-Videoplayer wird es jetzt noch schlimmer: Heute habe ich auf der Webseite der Schweizerischen Raiffeisen Bank ebenfalls eine XSS Lücke entdeckt:
Die Lücke findet sich scheinbar in der Datei home.nsf:
www.raiffeisen.ch/raiffeisen/internet/home.nsf/webpagesbytitleD/33595f0e29de093b412567ba002c01eb?opendocument&Bank=Irgendein-schädlicher-Code
Die Lücke ist besonders brenzlig, da Phisher diese ausnutzen können um an Kunden Daten zu gelangen. Da man beliebigen Code einschleusen kann ist es somit möglich, ein Formular welches auf einer Fremden Seite gehosted wird auf die Webseite der Raiffeisen Bank ein zu binden und somit die aktuellen Phishing Filter zu umgehen (Siehe mein Beispiel oben).
