Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › XSS: Cross-Site-Scripting über DNS…

Nicht wirklich was neues

  1. Thema

Neues Thema Ansicht wechseln


  1. Nicht wirklich was neues

    Autor: a.nonymous 19.09.14 - 16:27

    Naja, das DNS spielt ja hier nur eine Nebenrolle. Wie im Artikel dann ja weiter beschrieben wurde, betrifft das alle Webseiten, die Daten aus externen Quellen beziehen und darstellen ... ob die Quellen nun ein RSS-Feed, eine REST-API oder eben DNS-Einträge sind. Von daher nun nicht so spektakulär ... der Titel suggeriert hier meiner Meinung nach eine Schwäche von DNS selbst.

    Da fällt mir ein, hat eigentlich schon mal jemand versucht, Javascript-Code als Verwendungszweck bei einer Online-Überweisung einzugeben? Würde mich mal interessieren, ob man damit bei der einen oder anderen Bank was anstellen kann :)

    VG

  2. Re: Nicht wirklich was neues

    Autor: hallerma 19.09.14 - 17:09

    Das wird mit dem beschränkten zulässigen SEPA Zeichensatz (DFÜ Abkommen der deutschen Kreditwirtschaft) schwierig werden.

    abcdefghijklmnopqrstuvwxyz
    ABCDEFGHIJKLMNOPQRSTUVWXYZ
    0123456789
    /-?:().,'+
    Space

  3. Re: Nicht wirklich was neues

    Autor: tendenzrot 19.09.14 - 17:15

    Jep. Ich erinnere mich, etwas ähnliches vor Jahren mal gesehen zu haben. Da wurde der Javascript-Code in einen ungültigen DNS-Request gepackt. Dieser Request wurde per syslog ins Logfile geschrieben und dieses Logfile wurde ungefiltert im Browser angezeigt. Bingo.

  4. Re: Nicht wirklich was neues

    Autor: hannob (golem.de) 19.09.14 - 17:35

    hallerma schrieb:
    --------------------------------------------------------------------------------
    > Das wird mit dem beschränkten zulässigen SEPA Zeichensatz (DFÜ Abkommen der
    > deutschen Kreditwirtschaft) schwierig werden.
    [...]
    > /-?:().,'+

    Das Hochkomma reicht unter Umständen für XSS bereits aus, falls die Variable im Kontext eines Tags (bspw. als alt oder title-attribut) eingebunden wird.

  5. Re: Nicht wirklich was neues

    Autor: hallerma 19.09.14 - 17:38

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > hallerma schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das wird mit dem beschränkten zulässigen SEPA Zeichensatz (DFÜ Abkommen
    > der
    > > deutschen Kreditwirtschaft) schwierig werden.
    > [...]
    > > /-?:().,'+
    >
    > Das Hochkomma reicht unter Umständen für XSS bereits aus, falls die
    > Variable im Kontext eines Tags (bspw. als alt oder title-attribut)
    > eingebunden wird.

    Stimmt. Und für SQL Injection könnte es auch schon reichen.

  6. Re: Nicht wirklich was neues

    Autor: rofl022 19.09.14 - 21:01

    Eine Überweisung mit "DROP TABLE" abschließen, hat was...

  7. Re: Nicht wirklich was neues

    Autor: crazypsycho 19.09.14 - 21:35

    > Stimmt. Und für SQL Injection könnte es auch schon reichen.

    Ich schätze das hätten Hacker längst erkannt und ausgenutzt, wodurch es bereits aufgeflogen wäre.

  8. Re: Nicht wirklich was neues

    Autor: PHPGangsta 21.09.14 - 00:08

    Was ist an der News neu? 2010 hat das schon jemand gemacht und veröffentlicht:

    https://blog.skullsecurity.org/2010/stuffing-javascript-into-dns-names

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden
  2. ITEOS, Karlsruhe
  3. PAUL HARTMANN AG, Heidenheim an der Brenz
  4. DT Netsolution GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 48,49€
  2. 4,99€
  3. (-70%) 14,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Projektorkauf: Lumen, ANSI und mehr
Projektorkauf
Lumen, ANSI und mehr

Gerade bei Projektoren werden auf Plattformen verschiedener Onlinehändler kuriose Angaben zur Helligkeit beziehungsweise Leuchtstärke gemacht - sofern diese überhaupt angegeben werden. Wir bringen etwas Licht ins Dunkel und beschäftigen uns mit Einheiten rund um das Thema Helligkeit.
Von Mike Wobker


    Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
    Ricoh GR III im Test
    Kompaktkamera mit Riesensensor, aber ohne Zoom

    Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
    Ein Test von Andreas Donath

    1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
    2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

    1. TLS-Zertifikat: Gesamter Internetverkehr in Kasachstan kann überwacht werden
      TLS-Zertifikat
      Gesamter Internetverkehr in Kasachstan kann überwacht werden

      In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land.

    2. Ari 458: Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro
      Ari 458
      Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro

      Ari 458 ist ein kleiner Lieferwagen mit Elektroantrieb, den der Hersteller mit Aufbauten für verschiedene Einsatzzwecke anbietet. Die Ausstattung ist einfach, dafür ist das Auto günstig.

    3. Quake: Tim Willits verlässt id Software
      Quake
      Tim Willits verlässt id Software

      Seit 24 Jahren ist Tim Willits einer der entscheidenden Macher bei id Software, nun kündigt er seinen Rückzug an. Was er künftig vorhat, will der ehemalige Leveldesigner und studierte Computerwissenschaftler erst nach der Quakecon verraten.


    1. 17:52

    2. 15:50

    3. 15:24

    4. 15:01

    5. 14:19

    6. 13:05

    7. 12:01

    8. 11:33