Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=628460bb5b3e2bb8edd58835a9486c21 profile.php?mode=register&sid=628460bb5b3e2bb8edd58835a9486c21 faq.php?sid=628460bb5b3e2bb8edd58835a9486c21 memberlist.php?sid=628460bb5b3e2bb8edd58835a9486c21 search.php?sid=628460bb5b3e2bb8edd58835a9486c21 index.php?sid=628460bb5b3e2bb8edd58835a9486c21

Foren-Übersicht » Sicherheitslücken » [XSS] CGI-Scripte
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
[XSS] CGI-Scripte
BeitragVerfasst am: 10.10.2006 12:51 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hallo zusammen,

nehmen wir mal an man findet in dne weiten des Webs ein CGI-Script(Suchfenster), welches keine HTML Befehle validiert, also man dem Suchfenster alle möglichen Befehle absetzen kann.

Meine Frage ist jetzt, welche Schwerwiegenden Fehler können für diese Webseite entstehen, wenn in der URL davon ichts zusehen ist also alles über POST gelöst wird(nicht über GET)?

Gruß daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 10.10.2006 22:51 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




ausser den typischen XSS lücken seh ich da mal keine Gefahr.
Mann kann die cookies auslesen
Das schlimsmte was man wohl machen kann ist entweder Useradten auslesen oder einen Login fälschen der dem admin vorgaukelt ein Fehler zu sein von dem webserver und er sich einloggen muss um den Fehler zu beheben.
Also nen Fenster das sich öffnet wo der dumme dumme admin seine daten angibt.
Mehr fällt mir grad nich ein

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 10.10.2006 23:02 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

sowas habe ich mir auch schon gedacht, was sit aber wenn da oben immer nur
Code:
http://www.xsswebseite.de/script.cgi
steht egal was man eingibt und auch keine Dinge über die URL angenommen werden.

Dann sind doch die meisten davon nicht möglich oder?

Und wenn es doch kein Login-System gibt, sondern es nur für Suchabfragen das CGI-Script genutzt wird, dann bringt das Cookie-Auslesen doch auch nichts oder?

Bzw. wenn die betroffene Seite gar keine Cookies verwendet?

Gruß daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 11.10.2006 14:09 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




XSS ist ja auch kein allroundmittel.
1) Man kann auch wenn es nicht in der Leiste steht werte übermitteln.Z.b. über eine Seite wo die XSS Werte an das Formular automatisch übermittelt werden (siehe United H4x0r Guestbook hack^^)
2)Es ist nunmal nur java script und VBscript was man dem anderen unterschieben kann und html code Wink.Bis auf ein paar Exploits ist da nicht drin.Du musst ja dran denken das ist clientseitig.Vllt finden wir ja bald ne Möglichkeit dem Browser ALLE Infos zu entlocken^^ Das heißt alle gespeicherten PWs etc Wink

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 11.10.2006 14:45 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

vielen Dank für die Informationen, das hat mir weitergeholfen, XSS besser zu verstehen.

gruß daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
[XSS] CGI-Scripte
Foren-Übersicht » Sicherheitslücken
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum