Save This Page02/01/2007: Warum man Geld für fähige Programmierer ausgeben sollte
Auf dem 23C3 in Berlin wurden einige interessante Hacks vorgestellt, und im Wiki tauchte eine kleine Liste auf, was wo wie exploitbar ist. Unter anderem waren auch ein paar wenige Cross-Site-Scripting Sachen dabei. Mich hat es etwas gewundert, dass es wirklich nur wenige waren, und da dachte ich mir, schaust du mal, was heutzutage noch so alles geht.
Das Ergebnis war leider etwas erschreckend, unter den angreifbaren Seiten waren nicht nur namhafte Netzwerk-Hardware Hersteller, sondern auch der Verkehrsverbund-Rhein-Ruhr, die Gelben-Seten und Das Örtliche. Ich bin kein Black-Hat oder so, möchte die Lücken dennoch hier mal veröffentlichen um die Aufmerksamkeit der Medien ein wenig zu pushen.
Hier also die Lücken:
Netgear
Auf netgear.de kann man ganz einfach einen "bösen" Link bauen:
http://netgear.de/de/suche.html?q=%3Cscript%3Ealert('hallo')%3C/script%3E
Einfach als Such-Query etwas wie <script>...</script> eingeben.
Netterweise geht das selbe auch auf netgear.com, obwohl deren Flash erstmal bei < im Query das Formular nicht abschicken will, aber wozu gibts Links?
http://netgear.com/Search.aspx?text=%3Cscript%3Ealert('a')%3C/script%3E
Saturn
saturn.de ist ganz schlau, man kann nur rein, wenn man ein Cookie gesetzt hat. Also kurz auf http://www.saturn.de gehen, irgend eine Filiale ausswählen und...
saturn.de den Link anklicken.
Hier hat man wieder einen typischen Such-Fehler, aber man muss vor dem <script> ein "> reinklatschen, damit das input-Feld zuende ist.
Subway
Genau das Gleiche passiert auch auf der Seite von Subway, wenn man eine Filiale suchen möchte:
subway-sandwiches.de
VRR
Wer gerne Online den Fahrplan nachguckt, sollte vrr.de nicht vertrauen:
vrr.de
Wieder der selbe Fehler, der netterweise auch auf rheinbahn.de existiert.
YellowMap
Den Weg zum 23C3 in Berlin findet man am besten mit yellowmap.de:
yellowmap.de
Hier wollte ein Script irgendwie nicht, aber das Bild ist doch auch nett, oder?
Das Örtliche
Suchmaschinen sind was feines, wenn man vor der Suche weiß, was sie finden:
dasoertliche.de
Hier ist übrigens ausnahmsweise nicht die Suche schuld, sondern das dynamische erstellen des Seitentitels aus der URL.
GelbeSeiten
Die Krönung war aber die Seite der GelbeSeiten, die Suchfelder für Was und Wo werden nämlich sauber nach "komischen" Zeichen gefiltert, aber die Suche in den Treffern ist angreifbar:
gelbeseiten.de (leider ist da eine SessionID drin, aber da kommt man bestimmt auch drumherum)
Ich verstehe einfach nicht, wie man so fahrlässig handeln kann, werde aber gleich die Betreiber der Seiten und Heise Security mit einem Link zu diesem Beitrag beglücken und hoffen, sie lernen was daraus.
Das Ergebnis war leider etwas erschreckend, unter den angreifbaren Seiten waren nicht nur namhafte Netzwerk-Hardware Hersteller, sondern auch der Verkehrsverbund-Rhein-Ruhr, die Gelben-Seten und Das Örtliche. Ich bin kein Black-Hat oder so, möchte die Lücken dennoch hier mal veröffentlichen um die Aufmerksamkeit der Medien ein wenig zu pushen.
Hier also die Lücken:
Netgear
Auf netgear.de kann man ganz einfach einen "bösen" Link bauen:
http://netgear.de/de/suche.html?q=%3Cscript%3Ealert('hallo')%3C/script%3E
Einfach als Such-Query etwas wie <script>...</script> eingeben.
Netterweise geht das selbe auch auf netgear.com, obwohl deren Flash erstmal bei < im Query das Formular nicht abschicken will, aber wozu gibts Links?
http://netgear.com/Search.aspx?text=%3Cscript%3Ealert('a')%3C/script%3E
Saturn
saturn.de ist ganz schlau, man kann nur rein, wenn man ein Cookie gesetzt hat. Also kurz auf http://www.saturn.de gehen, irgend eine Filiale ausswählen und...
saturn.de den Link anklicken.
Hier hat man wieder einen typischen Such-Fehler, aber man muss vor dem <script> ein "> reinklatschen, damit das input-Feld zuende ist.
Subway
Genau das Gleiche passiert auch auf der Seite von Subway, wenn man eine Filiale suchen möchte:
subway-sandwiches.de
VRR
Wer gerne Online den Fahrplan nachguckt, sollte vrr.de nicht vertrauen:
vrr.de
Wieder der selbe Fehler, der netterweise auch auf rheinbahn.de existiert.
YellowMap
Den Weg zum 23C3 in Berlin findet man am besten mit yellowmap.de:
yellowmap.de
Hier wollte ein Script irgendwie nicht, aber das Bild ist doch auch nett, oder?
Das Örtliche
Suchmaschinen sind was feines, wenn man vor der Suche weiß, was sie finden:
dasoertliche.de
Hier ist übrigens ausnahmsweise nicht die Suche schuld, sondern das dynamische erstellen des Seitentitels aus der URL.
GelbeSeiten
Die Krönung war aber die Seite der GelbeSeiten, die Suchfelder für Was und Wo werden nämlich sauber nach "komischen" Zeichen gefiltert, aber die Suche in den Treffern ist angreifbar:
gelbeseiten.de (leider ist da eine SessionID drin, aber da kommt man bestimmt auch drumherum)
Ich verstehe einfach nicht, wie man so fahrlässig handeln kann, werde aber gleich die Betreiber der Seiten und Heise Security mit einem Link zu diesem Beitrag beglücken und hoffen, sie lernen was daraus.
Tags:
Trackbacks: (https://www.die-welt.net/trackback.php/108)
blog.teranetworks.de ~ geeks?/Wenn Zhenech mit saturn und subway spielt :leider etwas erschreckend[tm]
'Ganz einfach einen "bösen" Link bauen', darum geht es in in einer weiteren Episode in dem Blog dieses mutigen Hackers ("Ich bin kein Black-Hat oder so").
abma weblog/Backlinks gesucht? :Dann wird man schneller fündig als man denkt. z.B. bayern online spendiert einem netterweise einen. Auch Brandenburg ist so nett und hat einen Link auf meine Homepage gesetzt. Selbst meine Heimatstadt Biberach war so nett einen Backlink zu setzen. Die..
abma weblog/Backlinks gesucht? :Dann wird man schneller fündig als man denkt. z.B. bayern online spendiert einem netterweise einen. Auch Brandenburg ist so nett und hat einen Link auf meine Homepage gesetzt. Selbst meine Heimatstadt Biberach war so nett einen Backlink zu setzen. Die..
None
