XSS / Cross Site Scripting Anleitung + Infos |
|
---|---|
10.02.2006, 14:15
Member
Beiträge: 2176 |
|
|
|
25.05.2006, 20:34
Member
Beiträge: 18 |
#2
Zitat Query Google to find URI HTML Injection opportunities.aus einem englischsprachigen Blog zitiert, interessant wieviele angreifbare Sites sich schon über Google finden lassen. Google ist echt eine Waffe und ein gefundenes Fressen für Hacker Lupine |
|
|
27.02.2007, 11:01
Member
Themenstarter Beiträge: 2176 |
#3
Die Gefahren von XSS und CSRF
Code Listing 1. Uploaden eines harmlosen Bilds auf einen Server, von dem wir wissen, dass er die Uploads überprüft und die Anfragen anderer abweist+ ein sehr interessanter Artikel zu dem Thema! Greetz Lp Quelle des PDF Files: http://www.hakin9.org/ Anhang: xss_cross-site-scripting.pdf
|
|
|
28.02.2007, 01:33
...neu hier
Beiträge: 1 |
#4
mmmm ich komme nicht weiter.kann mir jemand sagen wie ich das password heraus bekomme
<td align=right> <font class=lr_font_13>Ïîòðåáèòåëñêî èìå:</font> <input class=lr_input type=text name=email style="width:145px;" value='' onfocus="lr_e_bg1(this);" onblur="lr_e_bg0(this);" /> </td> </tr> <tr> <td align=right> <font class=lr_font_13>Ïàðîëà:</font> <input class=lr_input type=password name=password style="width:145px;" onfocus="lr_e_bg1(this);" onblur="lr_e_bg0(this);" /> </td> </tr> <tr> <td id="rem_me" colspan=2 align=right> <input type=checkbox name=remember> <font class=lr_font_13>Àâòîìàòè÷åí âõîä</font> </td> </tr> |
|
|
19.06.2007, 23:31
Member
Themenstarter Beiträge: 2176 |
#5
anschauliches Video über den Einsatz von XSS:
http://milw0rm.org/video/watch.php?id=71 PHP Lösung gegen XSS Lücken findet sich z.B. hier: http://quickwired.com/kallahar/smallprojects/php_xss_filter_function.php IBM hat hier ebenfalls eine Anleitung für Kunden was man gegen XSS tun kann. (leider ist diese Seite auch anfällig und wenn man so will auch Paypal ^ was man damit alles böses machen kann von Phising Weiterleitung bis Account Daten klauen ... darüber mag ich garnicht nachdenken noch hier was drüber schreiben und sogar Google hat Lücken - Wahnsinn!!!! http://www.xssed.com/news/39/XSS_vulnerability_in_iGoogleGmodules_when_calling_external_widgets/ Greetz Lp Anhang: anti-xss-script.txt
|
|
|
19.11.2007, 23:10
...neu hier
Beiträge: 1 |
#6
hallochen,
habe mal eine Frage zu dem Script hier: anti-xss-script.txt wie verwende ich dieses? hab nirgends etwas über die Einsatzweise gefunden. lg anna |
|
|
24.06.2008, 19:18
Member
Beiträge: 38 |
|
|
|
ein gutes Beispiel + Erklärung gibt es hier:
http://www.heise.de/security/artikel/print/38658
beim XSS verhält es sich wie bei der SQL-Injection indem Variablen in Urls die nicht gut genug überprüft werden, zweckentfremdet werden und dazu genutzt werden andere Informationen in die Website einzuspeisen z.B. Javascript.
Mit Javascript könnte man nun z.B. den Cookie (wo oft Login+Passwort Daten drinstehen) auslesen und an eine andere Website übermitteln und dort speichern / klauen!
Beispiel:
h**p://www.vertrauenswürdige.seite/cgi-bin/test.cgi?<script>alert("Überraschung")</script>
Zitat
ein Tool/Firefox Erweiterung womit man das auf Websites gut testen kann ist:Zitat
sehr gut auch zum Thema:Paper: HTML Code Injection and Cross-site scripting
http://www.technicalinfo.net/papers/CSS.html
sonstige Beispiele und weiterführende Infos:
XSS (Cross Site Scripting) Cheat Sheet
http://ha.ckers.org/xss.html
Greetz Lp
Quelle des PDF Files: http://www.hakin9.org/