Chorizo! is a Next Generation Web Application Security Scanner. It acts as a proxy between your browser and your application, recording all requests you make to your application. It scans in the background for security issues like Cross Site Scripting (XSS), Cross Site Request Forging (CSRF), Code Inclusion, Remote Code Execution, PHP vulnerabilities, Session injection and more.
You worked hard developing your web application – let Chorizo! do the security work for you!
Chorizo! ist ein Produkt der Firma Mayflower, die übrigens auch das StudiVZ in ihren Referenzen aufführt. Chorizo kann genutzt werden, um Schwachstellen in dynamischen Webseiten zu finden.
Björn von Mayflower hat sich wohl auch die Webseiten einiger kleiner Startups aus Deutschland angesehen, denn z.B. der Dealjäger berichtet im Blog von XSS-Lücken, die geschlossen wurden:
Die Gefahr unterschätzter Sicherheitsprobleme wird im Zusammenhang mit einem anderen Start-Up (wer könnte das wohl sein?) derzeit ja ausführlich diskutiert. Im Gegensatz zu besagtem Berliner Start-Up besteht bei uns aber erst gar nicht die Gefahr, dass sensible private Daten öffentlich gemacht werden könnten, denn wir fragen überhaupt keine persönlichen Angaben ab. Unser Geschäftsmodell basiert eben nicht darauf, möglichst viele Informationen über möglichst viele Community-Mitglieder zu sammeln und zu monetarisieren. Unsere Mitglieder haben also nichts zu befürchten.
Auch bei edelight wurden XSS-Bugs gefunden und umgehend beseitigt:
Auch wir kannten diese Problematik und trotzdem hatten wir Sie kurzfristig aus den Augen verloren. Ich meine, die Jungs arbeiten momentan Tag und Nacht. Das ist gewiss keine Entschuldigung (und darf auch nie eine werden!), soll aber die Grundproblematik verdeutlichen.
Eine andere Herangehensweise testet das StudiVZ, die aufgerufen haben, Sicherheitslecks zu melden und dafür 256€ zu bekommen. Dies war wohl auch nötig, da es mehrere Abschaltungen wegen Phishing, einem XSS-Angriff und noch mehr Cross-Site Scripting gab…
Ich bin wie Arno der Meinung, dass 256€ kein wirkliches Angebot sind. Ich frage mich aber auch, was Mayflower mit dem StudiVZ zu tun hatte. Denn die Jungs dort sind Sicherheitsspezialisten, denen einige der wirklich leichtsinnigen Fehler sicherlich schnell aufgefallen wären.
Siehe auch Lawblogger Udo und Golem:
Die Pannenserie von kleinen und großen Problemen und Sicherheitslücken beim Studentenportal StudiVZ reißt nicht ab. Nun verspricht StudiVZ eine Belohnung von 256 Euro, wenn jemand Sicherheitslücken im Portal meldet. Parallel zu der Ankündigung ging StudiVZ wegen eines erneuten XSS-Angriffs offline.
{ 2 comments… read them below or add one }
Hallo Andreas,
die von dir erwähnte Referenz bezieht sich auf ein von uns vor einiger Zeit durchgeführtes Datenbank-Consulting.
Grüße, Björn.
ok, sprich ihr solltet die datenbank optimieren? vielleicht hätten sie euch auch zu sicherheitsfragen heranziehen sollen…
danke für die schnelle antwort!