Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=e39680a26ee54febf4e4525a66973fb2 profile.php?mode=register&sid=e39680a26ee54febf4e4525a66973fb2 faq.php?sid=e39680a26ee54febf4e4525a66973fb2 memberlist.php?sid=e39680a26ee54febf4e4525a66973fb2 search.php?sid=e39680a26ee54febf4e4525a66973fb2 index.php?sid=e39680a26ee54febf4e4525a66973fb2

Foren-Übersicht » Sicherheitslücken » [XST]Cross Site Tracing
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
[XST]Cross Site Tracing
BeitragVerfasst am: 12.04.2007 14:16 Antworten mit Zitat
madhead
Anmeldedatum: 02.11.2006
Beiträge: 52




Wie sieht das eigentlich mit dem Cross Site Tracing aus? Funktioniert das noch? hab mal bissschen rechergiert.. also erstmal:

Was ist XST?

http://de.wikipedia.org/wiki/Cross_Site_Tracing

1. Ein Benutzer wird auf eine HTML-Seite gelockt.
2. Die Seite enthält JavaScript-Code, der einen Trace-Request zu einer Website sendet, von der der Benutzer ein Cookie erhalten hat.
3. Der Server sendet den Request samt Cookie zurück.
4. Das Skript filtert das Cookie aus und sendet es weiter an den Angreifer.

zu Schritt 2:

Wie Setzt man einen Trace Request per Javascript ab?

Hier: http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf

BEI mir Fuktionieren die Beispiele nicht also das Letzte (Code Example 4)

Aber sonst sehr interessante Sache =) oder was meint ihr?

_________________
Es gibt genau 10 Arten von Menschen, die einen verstehen Binärcode die anderen nicht.
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 12.04.2007 19:45 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Ab und zu geht das noch aber nicht immer.
Ist jetzt eher selten weil es keinen wirklichen nutzen gefunden hat.
Aber naja ab und zu gehts noch Wink
Hier beim NaS gehts btw ...
Wo hast du es getestet?
Code:
blacklotus@FuckUp ~ $ telnet network-and-security.de 80
Trying 85.13.133.13...
Connected to network-and-security.de.
Escape character is '^]'.
TRACE / HTTP/1.1
Host: network-and-security.de
X-Header: test

HTTP/1.1 200 OK
Date: Thu, 12 Apr 2007 17:46:01 GMT
Server: Apache/1.3.34 (Unix) PHP/4.4.2 FrontPage/5.0.2.2635 mod_fastcgi/mod_fastcgi-SNAP-0404142202 mod_ssl/2.8.25 OpenSSL/0.9.6i
Transfer-Encoding: chunked
Content-Type: message/http

43
TRACE / HTTP/1.1
Host: network-and-security.de
X-Header: test

Ich werde erstmal keienn code liefern^^
Und weiß auch agr nciht ob das überhaupt von allen Browsern unterstützt wird glaub nur M$ Browser haben noche die Schwäche Sprich Internet Exploder

Edit:
So Cerox nein du brauchst keine Angst zu haben^^
Also ich habs mit dem IE 6 getestet dem fehlern standardmäßig die "Berechtigungen" man muss ne XMLHTTP Request oder wie die heißt aufstellen aber das lässt der irgendwie nicht zu. ..
freu mich auf Korrekturen Smile

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 23.04.2007 08:57 Antworten mit Zitat
madhead
Anmeldedatum: 02.11.2006
Beiträge: 52




OK Very Happy
Dann können ja alle wieder aufatmen Twisted Evil
Wäre geile Sache gewesen....

danke BlackLotus für deine Hilfe =)

mfg madhead

_________________
Es gibt genau 10 Arten von Menschen, die einen verstehen Binärcode die anderen nicht.
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 01.05.2007 15:26 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

vll. sollte den einen oder anderen auch folgenden Blog-Eintrag interessieren:
http://jeremiahgrossman.blogspot.com/2007/04/xst-lives-bypassing-httponly.html


mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
[XST]Cross Site Tracing
Foren-Übersicht » Sicherheitslücken
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum