ANDREAS HONTZIA

Diplom-Informatiker Univ. – persönliche Webseite

Willkommen,

mein Name ist Andreas Hontzia. Ich habe Informatik studiert und lebe in München. Momentan arbeite ich hauptsächlich als IT-Trainer. Ich schule Administratoren und Nutzerbetreuer in verschiedensten Themengebieten, damit sie später ihre Systeme und Netzwerke voll im Griff haben.

In meiner Freizeit beschäftige ich mich mit IT-Sicherheit. Ab und zu stoße ich auf Sicherheitslücken in Webseiten. Meistens hören die Lücken auf Namen wie XSS, CSRF, Session-Hijacking oder gar SQL-Injection.

Handwerk

Hier eine kleine Liste von Sicherheitslücken, auf die ich bisher gestoßen bin. Die Angaben sind bewusst unscharf gehalten, damit keine Rückschlüsse auf die jeweilige Webseite möglich sind. Alle Betreiber wurden von mir einzeln angeschrieben und haben eine detaillierte Beschreibung ihrer Sicherheitslücken erhalten.

Die Dauer der Sicherheitslücke ist die Zeitspanne zwischen dem ersten Anschreiben bis zur Schließung der Lücken. Viele E-Mails laufen ins Leere, da teilweise die E-Mail-Adressen nicht mehr in Betrieb sind, braucht es manchmal mehrere Anläufe bis ich jemanden erreiche. Sobald ich eine erste Reaktion habe dauert es meist weniger als eine Woche bis die Lücken geschlossen sind.


Status: geschlossen

Internationaler Finanzdienstleister


Cross-Site-Scripting

angeschrieben am: 28.09.2011
Rückmeldung am: keine
Lücke geschlossen: 07.10.2011
Dauer: ~ 1 Woche
Status: Warnung

Webseite für Solaranlagen



Cross-Site-Scripting

angeschrieben am: 21.07.2011
Rückmeldung am: 05.08.2011
Lücke geschlossen:
Dauer: über 2 Monate
Status: geschlossen

Webseite eines wissenschaftlichen Instituts


Cross-Site-Scripting
Remote File Inclusion

angeschrieben am: 26.06.2011
Rückmeldung am: 27.06.2011
Lücke geschlossen: 27.06.2011
Dauer: 1 Tag
Status: geschlossen

Plattform für Direktmarketing



SQL-Injection

angeschrieben am: 13.03.2011
Rückmeldung am: 14.03.11
Lücke geschlossen: 18.03.2011
Dauer: 5 Tage


Status: geschlossen

ein Ortsverband in Bayern



normales Cross-Site-Scripting

angeschrieben am: 13.02.2011, 19.02.2011
Rückmeldung am: keine
Lücke geschlossen: 21.02.2011, neues CMS installiert
Dauer: 8 Tage
Status: geschlossen

deutsches Outdoor-Portal



normales Cross-Site-Scripting

angeschrieben am: 06.02.2011, 19.02.2011
Rückmeldung am: 21.02.2011
Lücke geschlossen: 21.02.2011
Dauer: 15 Tage
Status: geschlossen

großer deutscher Nachrichtensender


Double-URL-Encoded XSS

angeschrieben am: 26.01.2011, 05.02.2011
Rückmeldung am: keine
Lücke geschlossen: 19.02.2011
Dauer: 24 Tage
Status: geschlossen

Online Shop eines Schwimmbades in München


SQL-Injection alá ' OR 'a'='a'; --

angeschrieben am: 28.01.2011, 05.02.2011, 13.02.2011
Rückmeldung am: 14.02.11
Lücke geschlossen: 15.02.2011
Dauer: 18 Tage
Status: geschlossen

Bestellwebseite eines Pizzabringdienstes


SQL-Injection (# terminiert)

angeschrieben am: 13.02.2011
Rückmeldung am: keine
Lücke geschlossen: 15.02.2011
Dauer: 2 Tage
Status: geschlossen

deutsche Suchmaschine für Videos


normales Cross-Site-Scripting

angeschrieben am: 01.02.2011
Rückmeldung am: 02.02.2011
Lücke geschlossen: 03.02.2011
Dauer: 2 Tage
Status: geschlossen

wissenschaftliches Videoportal


normales Cross-Site-Scripting

Rückmeldung am: keine
Dauer: 6 Wochen

Kontakt








ten.eznoh@aiztnoh.saerdna
Andreas Hontzia
andreas.hontzia
honze@jabber.ccc.de

This website design is licenced under a BY-NC-SA 2.0 Creative Commons Licence. Thank you Ed Merritt for the inspiration!
Some Icons are Copyright © Yusuke Kamiyamane. All rights reserved. Licensed under a Creative Commons Attribution 3.0 license.