1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › MXSS: Cross-Site…

Was kann man damit machen?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was kann man damit machen?

    Autor: Anonymouse 02.04.19 - 16:31

    Habe den Text zwar gelesen, aber hier fehlt mir wohl einfach das KnowHow.
    Was genau kann man damit anstellen, wenn es denn noch funktionieren würde?

  2. Re: Was kann man damit machen?

    Autor: Noren 02.04.19 - 16:46

    Du könntest einen Link verbreiten welcher Code enthält und diesen beim Öffnen ausführt. In einem Worst Case Szenario könnte man die Session/den Account übernehmen. (Google dürfte da aber zusätzliche Sicherheitsmechanismen eingebaut haben, sodass dies nicht möglich ist.)

  3. Re: Was kann man damit machen?

    Autor: Compufreak345 02.04.19 - 16:50

    Dir einen Link zu einer vorausgefüllten Google-Suche schicken die dann innerhalb der Google-Website Javascript ausführt um lustige Dinge zu tun wie z.B.:

    * Die Seite so manipulieren dass z.B. deine eingegebenen Google-Logindaten oder Suchanfragen woanders hin weitergeleitet werden
    * Werbung anzeigen
    * Scareware bewerben
    * Dich auf eine beliebige Seite weiterleiten
    * Kryptowährung schürfen
    * Eventuelle andere Javascript-Lücken ausnutzen
    * Je nachdem wie die Google-Authentifizierung / CORS-Regeln aufgebaut ist/sind vielleicht sogar dein Gmail-Konto auslesen

  4. Re: Was kann man damit machen?

    Autor: Anonymouse 02.04.19 - 16:51

    Compufreak345 schrieb:
    --------------------------------------------------------------------------------
    > Dir einen Link zu einer vorausgefüllten Google-Suche schicken

    Ahh ja okay. Das hat mir irgendwie in meiner Vorstellungskraft gefehlt.
    Dank an euch beide!

  5. Re: Was kann man damit machen?

    Autor: Kein Kostverächter 02.04.19 - 16:53

    XSS (Cross Site Scripting) ist der Oberbegriff von Methoden, Javascript im Kontext einer anderen Webseite auszuführen. Hier mal ein einfaches Beispiel (das erschreckenderweise immer noch auf genug Seiten funktioniert):
    Stell dir ein Forum vor, das HTML in den Postings erlaubt und die Eingaben nicht weiter prüft, sondern alles einfach so auch wieder ausliefert.
    Jetzt postet jemand HTML-Code, der JavaScript enthält, dass der Browser automatisch ausführt.
    Das passiert dann bei jedem, der mit eingeschaltetem JavaScript diesen Post liest.
    Dann hat das Script Zugriff auf den Dokumentenbaum der Seite und kann alles mögliche verändern.
    Das kann irgendein blöder Scherz sein, bei dem Text oder Bilder ausgetauscht werden, das kann aber auch etwas böseres sein, zum Beispiel die Aufforderung, seine Zugangsdaten noch einmal einzugeben oder eventuelle Downloadlinks ändern, dass der User unwissentlich Schadsoftware herunterlädt. Für den normalen User ist nicht zu erkennen, dass die Änderungen nicht Teil der eigentlichen Webseite sind.
    Durch schlecht entwickelte Seiten und / oder Fehler in Bibliotheken wie den beiden im Artikel genannten gibt es immer wieder Lücken, über die Angreifer so Scripte auf Seiten unterbringen, die Benutzereingaben annehmen und diese auch wieder ausgeben.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. DevOps Engineer (m/f/d)
    enote GmbH, Berlin
  2. Referent (w/m/d) Kommunikationstechnik
    Deutscher Bundestag, Berlin
  3. Projektleiter Digitale Transformation (m/w/d)
    Melitta Gruppe, Minden
  4. Technischer Redakteur (m/w/d)
    Schweickert GmbH, Walldorf

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de