[HaBo]

Cyberm@ster · 04.11.09, 23:53

Wie gestern bekannt wurde ist Apple's Website für XSS Attacken anfällig. Auf der globalen Seite wurde der Bug gefixt aber auf den lokalen Seiten funktioniert es (noch).

Seht selbst

**xeno** · 04.11.09, 23:54

lapdonline.org auch... ist halt keine unmittelbare gefahr, also wirds vernachlässigt.

HaBo Ads

Cyberm@ster · 05.11.09, 00:17

Doch ist es weil der Angreifer HTML- und JavaScript-Code einschleusen kann.

Code:

<div style="position:absolute;z-index:31337;width:3000px;height:2000px;margin:0;padding:0;left:0;top:0;overflow:hidden;" onmouseover="javascript:document.getElementById('looking').innerHTML='<p>There could be virtually ANYTHING here e.g. phishing site, malicious JavaScript...</p>';"></div>

Proof of Concept

Dieser Code legt einen unsichtbaren Div-Container über die ganze Seite und per onmouseover wird ein JavaScript ausgeführt. Es reicht ihn zu URL-encoden und als artistname-Parameter zu übergeben. Von Phishing bis zu bösartigen JavaScripts ist alles möglich!

**xeno** · 05.11.09, 01:02

es betrifft dann noch immer 'nur' den besucher, das mein ich mit 'nicht unmittelbar'

.
ich sag ja nicht, daß man das ignorieren sollte, ich meine nur, daß sich die betreiber nicht wirklich um sowas kümmern... scheinbar.

rami · 05.11.09, 07:25

XSS gibts auf jeder größeren Seite... Teilweise ist es harmlos, hier aber wahrscheinlich nich (habs mir nich genauer angeschaut), Aber kümmert sich irgendein Admin bei den großen Konzernen drum? ich wart nur auf die nächste XSS-Lücke bei Google...

Cyberm@ster · 05.11.09, 08:10

Zitat:

Original von r@mi
XSS gibts auf jeder größeren Seite... Teilweise ist es harmlos, hier aber wahrscheinlich nich (habs mir nich genauer angeschaut), Aber kümmert sich irgendein Admin bei den großen Konzernen drum? ich wart nur auf die nächste XSS-Lücke bei Google...

Je umfangreicher die Website desto mehr potenzielle Angriffspunkte. Die Webdesigner der großen Konzerne kochen auch nur mit Wasser und Irren ist menschlich, besonders wenn unter Zeitdruck gearbeitet wird. Ich denke nicht, dass es ihnen wirklich egal ist, oft dauert es nur bis die Lücke entdeckt wird. Manchmal haben andere Aufgaben auch Priorität. Die globale Seite war innerhalb von ein paar Stunden gefixt, aber lustig war es allemal.

rami · 05.11.09, 16:18

Zitat:

Original von Cyberm@ster

Zitat:

Original von r@mi
XSS gibts auf jeder größeren Seite... Teilweise ist es harmlos, hier aber wahrscheinlich nich (habs mir nich genauer angeschaut), Aber kümmert sich irgendein Admin bei den großen Konzernen drum? ich wart nur auf die nächste XSS-Lücke bei Google...

Je umfangreicher die Website desto mehr potenzielle Angriffspunkte. Die Webdesigner der großen Konzerne kochen auch nur mit Wasser und Irren ist menschlich, besonders wenn unter Zeitdruck gearbeitet wird. Ich denke nicht, dass es ihnen wirklich egal ist, oft dauert es nur bis die Lücke entdeckt wird. Manchmal haben andere Aufgaben auch Priorität. Die globale Seite war innerhalb von ein paar Stunden gefixt, aber lustig war es allemal.

Ja, egal nicht, aber das Potential wird denke ich teilweise verschätzt. Wenn ich mich recht erinnere, hat auch mal irgendein "Experte" in nem Interview gewarnt, dass im großen SQL-Injection-Hype die Angst vor anderen WebApp-Sicherheitslücken untergeht.

Empfehlung

04.11.09, 23:53	#1 (permalink)
Cyberm@ster Senior Member Registriert seit: 27.06.04 Likes: 0	XSS Apple Website Wie gestern bekannt wurde ist Apple's Website für XSS Attacken anfällig. Auf der globalen Seite wurde der Bug gefixt aber auf den lokalen Seiten funktioniert es (noch). Seht selbst

04.11.09, 23:54	#2 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 65	lapdonline.org auch... ist halt keine unmittelbare gefahr, also wirds vernachlässigt. __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

05.11.09, 00:17	#3 (permalink)
Cyberm@ster Senior Member Themenstarter Registriert seit: 27.06.04 Likes: 0	Doch ist es weil der Angreifer HTML- und JavaScript-Code einschleusen kann. Code: <div style="position:absolute;z-index:31337;width:3000px;height:2000px;margin:0;padding:0;left:0;top:0;overflow:hidden;" onmouseover="javascript:document.getElementById('looking').innerHTML='<p>There could be virtually ANYTHING here e.g. phishing site, malicious JavaScript...</p>';"></div> Proof of Concept Dieser Code legt einen unsichtbaren Div-Container über die ganze Seite und per onmouseover wird ein JavaScript ausgeführt. Es reicht ihn zu URL-encoden und als artistname-Parameter zu übergeben. Von Phishing bis zu bösartigen JavaScripts ist alles möglich!

05.11.09, 01:02	#4 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 65	es betrifft dann noch immer 'nur' den besucher, das mein ich mit 'nicht unmittelbar' . ich sag ja nicht, daß man das ignorieren sollte, ich meine nur, daß sich die betreiber nicht wirklich um sowas kümmern... scheinbar. __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

05.11.09, 07:25	#5 (permalink)
rami Registriert seit: 09.02.08 Likes: 0	XSS gibts auf jeder größeren Seite... Teilweise ist es harmlos, hier aber wahrscheinlich nich (habs mir nich genauer angeschaut), Aber kümmert sich irgendein Admin bei den großen Konzernen drum? ich wart nur auf die nächste XSS-Lücke bei Google... __________________ Portolio ~ geek's factory ~ Online-HackMes

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Was für nen Apple habt ihr?	tomu`	Mac OS & Co.	113	27.03.10 09:56
Apple in TopForm	FloX	News & Ankündigungen	2	11.09.05 19:46
FAQ: Apple / Mac OS X	silenced	Mac OS & Co.	7	30.08.05 03:33
Apple TFTs und PC?	Mackanzy	Hardware Probleme	8	08.01.04 14:42


HaBo Ads HaBOT

[HaBo]

XSS Apple Website