Wer kennt wen wird bei manchen Blogs schon als das nächste Super-Startup bezeichnet. Laut einiger Prognosen sollen sie in einem Jahr mehr Benutzer haben als studivz haben, eben weil sie keine bestimmte Zielgruppe, wie Studenten haben.
Aber ist das ein Grund, die gleichen Fehler zu machen?
Oliver von http://paranoidr.de berichtet in seinem nagelneuen Blog darüber, dass er eine XSS-Lücke gefunden hat, er dies den Betreiber mitgeteilt habe, aber zumindest bis jetzt niemand reagierte.
Nun fragt Kolja nach der genauen Lücke und bitte Oliver, diese zu veröffentlichen. Aber ist das denn wirklich nötig?
Natürlich interessiert es mich auch. Ich will mich dort aber nicht anmelden. Ist auch garnicht nötig. Sowas macht man ja auch nicht.
Wie finde ich eine XSS-Lücke?
Wenn ich eine solche Lücke suchen würde, wäre mein Vorgehen folgendes:
Einfach mal das allererste Form/Input-Feld ansehen, das es auf einer Seite gibt.
Dort schaue ich mir den Namen an “<input name=”beispielname” value=”"/>
Nun würde ich einmal probieren, ob ich beispielname als GET-Parameter in der URL übergeben kann. Eingeben kann ich es, klar. Aber kommt es dann auch auf der Seite raus?
Ok, wenn es rauskommt ist das nicht schlimm, kann ja alles gewollt sein.
Jetzt probiere ich doch mal so etwas wie “> in der GET-Variable anzugeben. Sieht die Seite jetzt leicht verunstaltet aus, kann es schon nicht mehr gewollt sein.
Also weiter: Geben wir doch mal als GET-Parameter das hier an:
“</script><script>alert(document.cookie)</script>
Wenn jetzt ein Popup aufgeht, sollten alle Alarmglocken klingeln.
Wie kommt es zu XSS-Lücken?
Hier ein paar Möglichkeiten
- Aus Versehen – wenn man etwas programmiert vergisst man es hin und wieder einmal…einfach geschludert.
- Man weiß es einfach nicht besser, kann mit dem Begriff XSS nichts anfangen oder kennt deren Gefahren nicht
- Man hat es nicht gelernt. Mein Studium ist zwar noch nicht vorüber, aber bis jetzt wurde höchstens einmal beileufig von XSS-Attacken und SQL-Injection berichtet. Ob noch genauestens auf das Thema eingegangen wird, bleibt abzuwarten.
Gute Nacht!
PS: Dies ist mein erstes Posting mit DreckBack 
Also mal schauen, wie sich das jetzt so äußert.
PPS: In meinem nächsten Beitrag berichte ich dann, wie man XSS-Lücken ausnutzen kann, welche Gefahren bestehen und ob man wirklich einen Zaunpfahl zum Winken braucht
1 Kommentar
Gestern gab es einen XSS-Angriff auf WKW. Einfach wie genial, das hätte sogar ich mit meinen geringen Javascript-Kenntnissen so hinbekommen.
Das Ganze war für das System der Benutzer wohl nicht gefährlich, jedoch wurde das Profil manipuliert und der Link zur Skriptseite per PN versandt.
Ich hoffe, dass sich die Programmierer nun auf ihren Hosenboden setzen und die Lücke beheben – wer will schon auf Dauer eine Community nutzen, bei der 80% der Nutzen “Agent Smith” heißen?