BB

technology and craziness.

BB

technology and craziness.

XING behebt Path Traversal Schwachstelle

Das soziale Netzwerk XING  ist sicher vielen ein Begriff, die berufliche Kontakte knüpfen, suchen und sich selbst mit einem schönen Profil präsentieren wollen. Mit über 14 Millionen Benutzern ist XING die größte Plattform seiner Art und bietet somit die beste Möglichkeit, neue Kontakte für seine Arbeit zu finden oder sich auszutauschen.

Die Schwachstelle entdeckte ich auf der Login Seite der Plattform, die über login.xing.com zu erreichen ist. Der GET-Parameter section weckte hier mein Interesse, nach genauerem Untersuchen fand ich hier die sogenannte Path-Traversal Lücke [Kurze Erklärung ].

login.xing.com

login.xing.com

Nachdem ich den Zugriff auf mehrere Systemdateien bestätigen konnte, benachrichtige ich das XING Team und erhielt eine schnelle und äußerst freundliche Rückmeldung. Nach einer schnellen Behebung der Schwachstelle wurde mir dann nochmals eine ausführliche Mail geschickt und geschildert, dass man kein Bug Bounty Programm habe, mir aber trotzdem ein Dankeschön zukommen lassen will.

Ich bedanke mich hier nochmals beim XING Team für das tolle Geschenk, das gestern bei mir eingetroffen ist!