CES 2021: Cross-Site-Scripting Lücke in der Webseite der Consumer Electronics Show

Servus beim Suchen nach meiner Firma auf der Webseite der CES ist mir mehr zufällig aufgefallen, dass im Eingabe Formular keine Zeichen gefiltert wurden. So konnte ich in die Webseite alles Mögliche mit Hilfe der XSS Lücke einfügen.

So sollte es eigentlich aussehen.

Durch das Eingeben von Daten in das Formular der Webseite soll eigentlich ein passendes Ergebnis zurückgeliefert werden. Zusätzlich wird aber ganz oben auch noch einmal die in das Formular eingetragenen Suchbegriffe angezeigt. In diesem Fall die Domain meiner Webseite.

Eingabe von Java Script um das Formular zu testen.

Durch das Eingeben von kleinen Script Tags und etwas Javascript <script> alert(„Server-Kiste.de“) </script> kann man ganz schnell überprüfen ob man so neben dem Suchergebnis auch Quellcode oder eigene Scripte in der Webseite platzieren kann.

Java Script Testergebniss

Und siehe da, die Seite führt den eingebetteten Code ohne Widerspruch aus. Hier in diesem Fall „nur“ ein kleines Popup Fenster.

Änderung und Einbettung fremder Inhalte.

Es ist aber auch möglich Änderungen an der Funktion oder Optik der Webseite durchzuführen. Hier z. B. das Logo unserer Firma.
Warum ist das ein Problem? Die Webseite der CES in Vegas ist durch den aktuellen Messe Termin gut besucht und allgemein als vertrauenswürdig angesehen. Ein Manipulierter Link wird also vermutlich nicht hinterfragt. So ist es jetzt möglich Maleware zu verteilen, Bitcoins zu Minen oder Sessioncookies zu ihrer Homebanking Sitzung zu stehlen. Alles ohne das der Besucher der Seite etwas merkt. Die meisten denken vermutlich so etwas wie Viren und Maleware kann ich mir doch nur auf Unseriösen Webseiten einfangen. Nein auch große Seiten wie die der CES können solche Probleme haben.

Mehr Infos zu Cross-Site-Scripting

INFO: Schon 2020 gab es zur CES eine Atacke Auf die Stadt Las Vegas bei der eine XSS Atacke verwendet wurde: Link

Nach auffinden der Lücke habe ich diese selbstverständlich sofort gemeldet. Doch weder über Twitter, die Seite der CES oder der Seite des Veranstalters der CTA war es möglich Kontakt aufzubauen. So nutze ich die Formular auf den Webseiten und schrieb Mails. Bis heute keine Reaktion auf keinem der Kanäle.

Erste Kontaktaufnahme mit der CES über deren Webformular.
Dann noch ein Versuch über das Formular der CTA.

Was kann man selbst als Firma tun? Auf Mails reagieren und Kontaktversuche reagieren wäre ein Anfang. Besser wäre gleich ein Bugbounty Programm auflegen und dies bei den gänigen Portalen wie Hacker One veröffentlichen.

Hier noch meine Proof of Concept: Popup: https://verlink.es/ces getauschtes Logo: https://verlink.es/vw1

HAPPY HACKING