Selbst die offizielle Webseite der Bundesregierung ist nicht gefeit vor Sicherheitslücken. Wie der Artikel auf Heise Security berichtet war es möglich eigenen HTML-Code in die Seite einzuschleusen. Die Cross-Site-Scripting-Schwachstelle (XSS) war möglich da der Inhalt der URL-Parameter ungefiltert in die Webseite eingebunden wurde.

Bis etwa 23 Uhr konnte sich jeder von der Schwachstelle überzeugen. Danach war dies nicht mehr möglich. Da mussten wohl wieder einige Programmierer zum Freitag  Überstunden machen. Zum Beispiel hatte folgender Anhang an einen Link ein IFrame mit einen Bild von Sylvester Stallone in die Webseite eingebunden.

%22%3E%3Ciframe%20src%3D%22http%3A//.../stallowned.jpg %0A%22%3E%3C/iframe%3E%3C%21--

Mit geschulten Auge oder einfacher mit der Firefox-Extension "Hackbar" kann man folgenden den HTML-Code erkennen. Die Sonderzeichen sind mittels urlencode behandelt. Somit ergibt zum Beispiel %22%3E  die Zeichnekette  "> . Dies ermöglicht, dass vor der Einbindung der Daten das letzte Attribut beendet und das letzte HTML-Tag  geschlossen wird.  Am Ende des IFrame wird noch >!--  eingebunden, wodurch der Browser den nachfolgenden Code als Kommentar interpretiert und nicht ausgibt.  

Dieses Beispiel ist natürlich nur eine harmlose Variante. Gefährlich wird es wenn es gelingt JavaScript-Code zur  Ausführung zu bringen. Mit entsprechend präparierten Links ist es mit XSS möglich Formular- und Cookie-Daten auszulesen und zu loggen. Dazu sei auf einen weiterer interessanter Artikel von Heise Security verwiesen,  welcher aufzeigt wie man  mit nur fünf  Zeilen JavaScript-Code ein Passwortklau durchführen kann. 

Die XSS-Schwachstelle hätten die Programmierer von bundesregierung.de aber leicht verhindern können. Bereits die Behandlung alle URL- und Eingabedaten mittels der Kombination von Funktionen wie strip_tags() und htmlentities() (für PHP-Seiten) hilft einen großen Teil von möglichen Schwachstellen zu begegnen.