Home » Web Security für Webmaster » [Security Hole] Yahoo! Search Cross Site Scripting » Themenansicht
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Vulnerability : Yahoo! Search, SearchBoss und cnet's Downloads
Patch : http://search.yahoo.com
Exploit :
Code
http://exploitlabs.com
Yahoo! stellt eine Suchmaschine zur Verfügung, die zusammenfassend sowohl als Index-Suchmaschine als auch als betreites Webverzeichnis funktioniert. Wie auf der Security-Mailingliste Full-Disclosure gepostet wurde, ist die Index-Suchmaschine gegen einen Cross Site Scripting Angriff verwundbar. Wird der Suchmaschine als Argument ein Skript übergeben, wird dieses interpretiert und angezeigt. Ein Angreifer kann so Skripte mit den Rechten der Webseite und des Webbrowsers ausführen. Es ist damit zu rechnen, dass Yahoo diesen Fehler in absehbarer Zeit beheben wird. Die gleichen Probleme wurden auch auf http://cluster.searchboss.com und http://download.com.com entdeckt. Bis dann sollte man keinen Links zu dieser Webseite folgen, die unbekannter oder zwielichtiger Herkunft sind.
Cross Site Scripting Angriffe erfreuen sich in letzter Zeit grosser Beliebtheit. Viele tun sie als kleines Ärgernis ab - Andere schätzen sie als reelle Bedrogung ein. Gerade bei Angriffen wie diesem, bei dem eine Vielzahl von Benutzern gefährdet sind, muss man das Risiko als gegeben akzeptieren.
quelle scip
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de