1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › JSFuck: Esoterischer…

Externe Scripte, das geht viel einfacher!

  1. Thema

Neues Thema Ansicht wechseln


  1. Externe Scripte, das geht viel einfacher!

    Autor: RienNeVaPlus 03.02.16 - 00:06

    Da genügt schon ein
    <script> document.writeln('<sc'+'ript src="http://externalsource"></'+'sc'+'ript>'); </script>

    um den Parser 'auszutrichsen'. Ich habe das selbst schon so verwendet.
    Oder missverstehe ich das, warum der Umweg über JSFuck?



    1 mal bearbeitet, zuletzt am 03.02.16 00:06 durch RienNeVaPlus.

  2. Re: Externe Scripte, das geht viel einfacher!

    Autor: Wildfire 03.02.16 - 07:12

    RienNeVaPlus schrieb:
    --------------------------------------------------------------------------------
    > Da genügt schon ein
    > document.writeln('</'+'sc'+'ript>');
    >
    > um den Parser 'auszutrichsen'. Ich habe das selbst schon so verwendet.
    > Oder missverstehe ich das, warum der Umweg über JSFuck?

    Vermutlich, weil der Filter von Ebay XSS-Attacken in diesem externen JS erkennen und neutralisieren würde. Mit JSFuck könntest du die XSS-Attacke aber vor dem Filter verstecken.

  3. Re: Externe Scripte, das geht viel einfacher!

    Autor: kayozz 03.02.16 - 08:45

    RienNeVaPlus schrieb:
    --------------------------------------------------------------------------------
    > Da genügt schon ein
    > document.writeln('</'+'sc'+'ript>');
    >
    > um den Parser 'auszutrichsen'. Ich habe das selbst schon so verwendet.
    > Oder missverstehe ich das, warum der Umweg über JSFuck?

    Naja, wenn der Parser Javascript rausfiltert, wird document.writeln wohl nicht durchkommen. Ausserdem hast du damit keine Change gegen CSP.

  4. Re: Externe Scripte, das geht viel einfacher!

    Autor: frostbitten king 03.02.16 - 11:04

    Wenn deren Filter dilletantisch implementiert ist? Wer weiß.

  5. Re: Externe Scripte, das geht viel einfacher!

    Autor: crazypsycho 03.02.16 - 19:35

    RienNeVaPlus schrieb:
    --------------------------------------------------------------------------------
    > Da genügt schon ein
    > document.writeln('</'+'sc'+'ript>');
    >
    > um den Parser 'auszutrichsen'. Ich habe das selbst schon so verwendet.
    > Oder missverstehe ich das, warum der Umweg über JSFuck?


    Die Frage ist, warum Ebay überhaupt Javascript erlaubt.

  6. Re: Externe Scripte, das geht viel einfacher!

    Autor: RienNeVaPlus 03.02.16 - 21:10

    Das ist er. Er blockt lediglich offensichtlich extern eingebundene Inhalte á la:
    <script src="external"></script> // -> UNGÜLTIGES ATTRIBUTE "SRC"

    Wohingegen der folgende Code problemslos ausgeführt wird:
    <script> document.writeln('<sc'+'ript src="http://externalsource"></'+'sc'+'ript>'); </script>

    Könnt ihr gerne mal ausprobieren.

  7. Re: Externe Scripte, das geht viel einfacher!

    Autor: M.P. 04.02.16 - 09:55

    "document.writeln" zuzulassen ist in diesem Fall die Sicherheitslücke.
    Das, was da geschrieben wird, kann man schon verschleiern...

    Dann noch Javascript zu blockieren, bleibt dann Sache der Einstellungen des Browsers.

    Und bei eigenem Javascript bekleckert sich Ebay ja auch nicht mit Ruhm:
    Wieso muss der aus so vielen unterschiedlichen Ebay-Domänen geladen werden?

    ebayrtm.com
    ebaystatic.com
    ebay.com
    ebay.de
    ...
    wenn dann jemand böswillige Skripte unter "ebaycontent.net" abrufbar macht, wird wohl manch einer nicht stutzen und bei NoScript die Erlaubnis erteilen....

  8. Re: Externe Scripte, das geht viel einfacher!

    Autor: frostbitten king 04.02.16 - 10:55

    Rofl, das tut weh. Vor allem, dass das geht: '<sc'+'ript .
    Kann mich erinnern bei einer Security Übung wo es um SQL Injection Filter Evation ging (ua), bist um den filter mit sowas herum gekommen:
    o;r (der Filter hat das ; gelöscht) und dann daraus OR gemacht ..baaam.
    Hätte nicht gedacht, dass in der Realität (ok sc+ript ist bissl anders aber ähnlich bescheuert).

  9. Re: Externe Scripte, das geht viel einfacher!

    Autor: crazypsycho 04.02.16 - 18:32

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > "document.writeln" zuzulassen ist in diesem Fall die Sicherheitslücke.
    > Das, was da geschrieben wird, kann man schon verschleiern...

    Die Sicherheitslücke ist das <script erlaubt ist.

    > Und bei eigenem Javascript bekleckert sich Ebay ja auch nicht mit Ruhm:
    > Wieso muss der aus so vielen unterschiedlichen Ebay-Domänen geladen
    > werden?

    Ein Browser baut nur begrenzt gleichzeitige Verbindungen zu einer Domain auf. Da macht es durchaus Sinn das zu trennen.

    > wenn dann jemand böswillige Skripte unter "ebaycontent.net" abrufbar macht,
    > wird wohl manch einer nicht stutzen und bei NoScript die Erlaubnis
    > erteilen....

    NoScript ist auch ein Tool für Profis.

  10. Re: Externe Scripte, das geht viel einfacher!

    Autor: M.P. 05.02.16 - 10:51

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > .... Die Sicherheitslücke ist das <script erlaubt ist. ....

    Wer kann es denn verbieten?
    Der Webserver von Ebay?
    Direkt geht das doch nicht. Nur indirekt durch Analyse der ausgelieferten Webseite. Die tun ja ihr bestes, um Skripte aus dem von den ebay-Anbietern erstellten Content auszufiltern.
    Wenn die Anbieter aber immer perfidere Ideen haben, das <script... Tag zu verschleiern, ist das ein Katz und Maus - Spiel.

    Wobei Ebay das anziehende Tempo des Spiels wohl nur unwillig mitgeht...

  11. Re: Externe Scripte, das geht viel einfacher!

    Autor: M.P. 05.02.16 - 13:16

    War wohl etwas vorschnell in der Analyse

    ...document.writeln ist ja schon selber javascript - wenn auch lokales...
    Man sollte nur eine Verlinkung auf internen vorgefertigten ebay-javascript-Bibliotheken zulassen. Lokaler skript-code auf der Seite ist per se verboten.
    Braucht ein Händler eigene Skripte, kann er gegen Bezahlung die skripte bei Ebay einreichen, die die in eine persönliche Skriptbibliothek (nach prüfung) abrufbar machen....

  12. Re: Externe Scripte, das geht viel einfacher!

    Autor: crazypsycho 05.02.16 - 19:06

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > .... Die Sicherheitslücke ist das <script erlaubt ist. ....
    >
    > Wer kann es denn verbieten?
    > Der Webserver von Ebay?
    > Direkt geht das doch nicht. Nur indirekt durch Analyse der ausgelieferten
    > Webseite. Die tun ja ihr bestes, um Skripte aus dem von den ebay-Anbietern
    > erstellten Content auszufiltern.
    > Wenn die Anbieter aber immer perfidere Ideen haben, das <script... Tag zu
    > verschleiern, ist das ein Katz und Maus - Spiel.
    >
    > Wobei Ebay das anziehende Tempo des Spiels wohl nur unwillig mitgeht...

    Das script-Tag rauszufiltern ist technisch auf Serverseite überhaupt kein Problem.
    PHP bietet dazu bspw eine fertige Funktion an.
    Problem ist, dass ebay Javascript an sich duldet, nur eben nicht von externen Quellen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Ditzingen
  2. über duerenhoff GmbH, Münster
  3. Vodafone GmbH, Düsseldorf
  4. Universität Passau, Passau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-83%) 9,99€
  2. 19€
  3. 31,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


DSGVO: Nicht weniger als Staatsversagen
DSGVO
Nicht weniger als Staatsversagen

Unterfinanziert und wirkungslos - so zeigen sich die europäischen Datenschutzbehörden nach zwei Jahren DSGVO gegenüber Konzernen wie Google und Facebook.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Datenschutzverstöße EuGH soll über Verbandsklagerecht entscheiden
  2. DSGVO Proton vergisst Git-Zugang auf Datenschutzwebseite
  3. DSGVO Iren sollen Facebook an EU-Datenschützer abgeben

Energieversorgung: Wasserstoff-Fabrik auf hoher See
Energieversorgung
Wasserstoff-Fabrik auf hoher See

Um überschüssigen Strom sinnvoll zu nutzen, sollen in der Nähe von Offshore-Windparks sogenannte Elektrolyseure installiert werden. Der dort produzierte Wasserstoff wird in bestehende Erdgaspipelines eingespeist.
Ein Bericht von Wolfgang Kempkens

  1. Industriestrategie EU plant Allianz für sauberen Wasserstoff
  2. Energie Dieses Blatt soll es wenden
  3. Energiewende Grüner Wasserstoff aus der Zinnschmelze

Minecraft Dungeons im Test: Diablo im Quadrat
Minecraft Dungeons im Test
Diablo im Quadrat

Minecraft Dungeons sieht aus wie ein Re-Skin von Diablo, ist viel einfacher aufgebaut - und fesselt uns trotzdem an den Bildschirm.
Ein Test von Peter Steinlechner

  1. Mojang Studios Mehr als 200 Millionen Einheiten von Minecraft verkauft
  2. Minecraft RTX im Test Klötzchen klotzen mit Pathtracing
  3. Raytracing Beta von Minecraft RTX startet am 16. April