[HaBo]
| (In)security allgemein Sicherheit, Anonymität im Netz. Schutz und Maßnahmen. Prävention und Konzepte. Sicherheitsarchitekturen allgemein und auf der Netzwerkebene. |
XSS - wie gravierend ?
Diskussion: XSS - wie gravierend ? im Forum (In)security allgemein, in der Kategorie Security Area; Anzeige Hallo, ich möchte mal eure Meinung zum Thema XSS hören. Ich war immer der Meinung, das solche Lücken sehr ...
 |
21.10.07, 16:51
| #1 (permalink) |
| Registriert seit: 15.01.05  Likes: 0 |  XSS - wie gravierend ? Anzeige Hallo, ich möchte mal eure Meinung zum Thema XSS hören. Ich war immer der Meinung, das solche Lücken sehr gravierend sind bin aber bei fast allen Webmastern auf völlige Ignoranz gestoßen. Die Meisten haben sich nicht mal die mühe gemacht zu Antworten, geschweige das Problem behoben. Da Frage ich mich woran es liegt das XSS Lücken auf Websiten mit mehreren tausend Usern vom admin komplett ignoriert werden ? Weil der Server nicht modifiziert wird ? So was ist doch ein Paradies für Phisher & Co ! |
|  |
|
21.10.07, 17:14
| #2 (permalink) | |
| Senior Member  Registriert seit: 28.10.03   Likes: 110 | RE: XSS - wie gravierend ? Zitat:
__________________ cu Chakky we are dreaming in digital we are living in realtime we are thinking in binary we are talking in IP welcome to our world | |
|
| |
| HaBOT | - Anzeige - |
|
|
21.10.07, 17:23
| #3 (permalink) |
| Themenstarter Registriert seit: 15.01.05 Likes: 0 | Haha Sone XSS lücke kann doch durch ein simplen Filter sofort gelößt werden. Bei den größeren Sites kann man ja auch nicht mehr einfach nen Script tag reinhauen, nen Filter ist also schon da, nur wurde der nicht gut umgesetzt. Da müsste man nur nen bischen anpassen. Und wenn da ein großer Amerikanischer Buchladen (mit Onlineshop) sich nicht für ne Sicherheitslücke Interessiert finde ich das doch sehr arm ... Na, dann ab in die Blogosphere damit  |
|
| |
|
21.10.07, 17:40
| #4 (permalink) | |
| Senior Member Registriert seit: 28.10.03 Likes: 110 | Zitat:
__________________ cu Chakky we are dreaming in digital we are living in realtime we are thinking in binary we are talking in IP welcome to our world | |
|
| |
|
21.10.07, 17:46
| #5 (permalink) |
| Themenstarter Registriert seit: 15.01.05 Likes: 0 | So denken viele, da der Server nicht modifiziert wird. Aber nennst du es überbewertet, das wenn du auf nen link klickst (und du nen account dort hast) automatisch 100 Bücher kaufst ? oder falls man was in das PM System einschleusen kann, du nur deine neuen Nachrichten lesen musst, und wir hier 3 Beitäge mit "ich bin doof" haben ? |
|
| |
|
21.10.07, 18:10
| #6 (permalink) | |
| Moderator   Registriert seit: 30.03.04 Likes: 14 | Hallo, Zitat:
XSS ist eine ernstzunehmende Lücke und kann ähnlich verherrend wie eine SQL Injection sein, manchmal sogar noch schlimmer. Passwortklau für Dummies - oder warum Cross Site Scripting wirklich ein Problem ist | |
|
| |
|
21.10.07, 18:43
| #7 (permalink) |
| Themenstarter Registriert seit: 15.01.05 Likes: 0 | Was denkt ihr wäre dann einen Anreiz die Lücke zu schließen ? Mal nen gutes Proof of Concept schreiben was über nen alert hinausgeht ? Einfach was über die ungefixte Lücke ins Blog schreiben ? Aufhören nach sowas zu suchen, da 90% der Seiten Lücken haben ? |
|
| |
|
21.10.07, 19:05
| #8 (permalink) |
| Registriert seit: 15.10.06 Likes: 0 | Ich bin für das Zweite. Wenn man die Lücke in einem Blog veröffentlicht und es den Link dem Besitzer der unsicheren Seite schickt wird sie meistens schnell geschlossen. Das ist wenigstens meine Erfahrung. Denn wenn er sie nicht schließt finden sich schnell genug Leute, die sie ausnutzen und dann hat der Betreiber Pech gehabt. Was möchtest du für nen POC machen, dass darüber hinausgeht?? vll nen paar accs damit klauen und die Benutzerdaten dem Betreiber schicken, als Beweis, dass die Lücke kritisch ist? Das XSS Lückensuchen aufgeben würde ich sowiso nie. |
|
| |
|
21.10.07, 19:20
| #9 (permalink) | ||
| Senior Member Registriert seit: 28.10.03 Likes: 110 | Zitat:
dafür sind wir ja hier um was zu lernen! aber in letzter zeit hat das mit den meldungen auch überhand genommen da xss und dort ein xss ging mir auch bissel auf die nerven!
__________________ cu Chakky we are dreaming in digital we are living in realtime we are thinking in binary we are talking in IP welcome to our world | ||
|
| |
|
21.10.07, 19:39
| #10 (permalink) |
| Themenstarter Registriert seit: 15.01.05 Likes: 0 | @HKA Mit nem besseren PoC meinte ich sowas wie wenn man den Link anclickt wird automatisch nen Forumpost erstellt oder sowas. Denn ich denke, dass viele Webmaster noch denken, das son bischen Javascript nichts anrichten kann. Na dann kommt dann gleich mal was ins Blog, kann man ja auch unter "Referenzen" abbuchen edit: http://www.godberit.de/blog/2007/10/22/xss-bn/ |
|
| |
|
23.10.07, 22:52
| #11 (permalink) |
| Registriert seit: 23.05.05 Likes: 0 | Hi, Also am besten einfach " ' > < ; und so weiter rausfiltern dann ist man meistens auf der sicheren Seite (denk ich mal, lass mich aber gern eines Besseren belehren) Also ums schließen gehts nicht, warum die das dann ignorieren ist mir auch schleierhaft... mfg, Xalon |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Security Area » (In)security allgemein » XSS - wie gravierend ?
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
