Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › MXSS: Cross-Site…

Was kann man damit machen?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was kann man damit machen?

    Autor: Anonymouse 02.04.19 - 16:31

    Habe den Text zwar gelesen, aber hier fehlt mir wohl einfach das KnowHow.
    Was genau kann man damit anstellen, wenn es denn noch funktionieren würde?

  2. Re: Was kann man damit machen?

    Autor: Noren 02.04.19 - 16:46

    Du könntest einen Link verbreiten welcher Code enthält und diesen beim Öffnen ausführt. In einem Worst Case Szenario könnte man die Session/den Account übernehmen. (Google dürfte da aber zusätzliche Sicherheitsmechanismen eingebaut haben, sodass dies nicht möglich ist.)

  3. Re: Was kann man damit machen?

    Autor: Compufreak345 02.04.19 - 16:50

    Dir einen Link zu einer vorausgefüllten Google-Suche schicken die dann innerhalb der Google-Website Javascript ausführt um lustige Dinge zu tun wie z.B.:

    * Die Seite so manipulieren dass z.B. deine eingegebenen Google-Logindaten oder Suchanfragen woanders hin weitergeleitet werden
    * Werbung anzeigen
    * Scareware bewerben
    * Dich auf eine beliebige Seite weiterleiten
    * Kryptowährung schürfen
    * Eventuelle andere Javascript-Lücken ausnutzen
    * Je nachdem wie die Google-Authentifizierung / CORS-Regeln aufgebaut ist/sind vielleicht sogar dein Gmail-Konto auslesen

  4. Re: Was kann man damit machen?

    Autor: Anonymouse 02.04.19 - 16:51

    Compufreak345 schrieb:
    --------------------------------------------------------------------------------
    > Dir einen Link zu einer vorausgefüllten Google-Suche schicken

    Ahh ja okay. Das hat mir irgendwie in meiner Vorstellungskraft gefehlt.
    Dank an euch beide!

  5. Re: Was kann man damit machen?

    Autor: Kein Kostverächter 02.04.19 - 16:53

    XSS (Cross Site Scripting) ist der Oberbegriff von Methoden, Javascript im Kontext einer anderen Webseite auszuführen. Hier mal ein einfaches Beispiel (das erschreckenderweise immer noch auf genug Seiten funktioniert):
    Stell dir ein Forum vor, das HTML in den Postings erlaubt und die Eingaben nicht weiter prüft, sondern alles einfach so auch wieder ausliefert.
    Jetzt postet jemand HTML-Code, der JavaScript enthält, dass der Browser automatisch ausführt.
    Das passiert dann bei jedem, der mit eingeschaltetem JavaScript diesen Post liest.
    Dann hat das Script Zugriff auf den Dokumentenbaum der Seite und kann alles mögliche verändern.
    Das kann irgendein blöder Scherz sein, bei dem Text oder Bilder ausgetauscht werden, das kann aber auch etwas böseres sein, zum Beispiel die Aufforderung, seine Zugangsdaten noch einmal einzugeben oder eventuelle Downloadlinks ändern, dass der User unwissentlich Schadsoftware herunterlädt. Für den normalen User ist nicht zu erkennen, dass die Änderungen nicht Teil der eigentlichen Webseite sind.
    Durch schlecht entwickelte Seiten und / oder Fehler in Bibliotheken wie den beiden im Artikel genannten gibt es immer wieder Lücken, über die Angreifer so Scripte auf Seiten unterbringen, die Benutzereingaben annehmen und diese auch wieder ausgeben.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SWB-Service- Wohnungsvermietungs- und -baugesellschaft mbH, Mülheim an der Ruhr
  2. BWI GmbH, München
  3. endica GmbH, Karlsruhe
  4. Schwarz Dienstleistung KG, Berlin, Raum Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 239,90€ (Bestpreis!)
  2. 58,90€
  3. 27“ großer NANO-IPS-Monitor mit 1 ms Reaktionszeit und WQHD-Auflösung (2.560 x 1.440)
  4. (u. a. Ghost Recon Wildlands Ultimate Edition für 35,99€, The Banner Saga 3 für 9,99€, Mega...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

SSD-Kompendium: AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick
SSD-Kompendium
AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick

Heutige SSDs gibt es in allerhand Formfaktoren mit diversen Anbindungen und Protokollen, selbst der verwendete Speicher ist längst nicht mehr zwingend NAND-Flash. Wir erläutern die Unterschiede und Gemeinsamkeiten der Solid State Drives.
Von Marc Sauter

  1. PM1733 Samsungs PCIe-Gen4-SSD macht die 8 GByte/s voll
  2. PS5018-E18 Phisons PCIe-Gen4-SSD-Controller liefert 7 GByte/s
  3. Ultrastar SN640 Western Digital bringt SSD mit 31 TByte im E1.L-Ruler-Format

  1. Indiegames-Rundschau: Killer trifft Gans
    Indiegames-Rundschau
    Killer trifft Gans

    John Wick Hex ist ein gelungenes Spiel zum Film, die böse Gans sorgt in Untitled Goose Game für Begeisterung und in Noita wird jeder Pixel simuliert: Die Indiegames des Monats sind abwechslungsreich und hochwertig wie selten zuvor.

  2. Archer2: Britischer Top-10-Supercomputer nutzt AMDs Epyc
    Archer2
    Britischer Top-10-Supercomputer nutzt AMDs Epyc

    Der Archer2 soll 2020 die höchste CPU-Leistung aller Supercomputer weltweit erreichen und es dank Beschleunigerkarten in die Top Ten schaffen. Im System stecken fast 12.000 Epyc-7002-Chips und Next-Gen-Radeons.

  3. Corsair One: Wakü-Rechner erhalten mehr RAM- und SSD-Kapazität
    Corsair One
    Wakü-Rechner erhalten mehr RAM- und SSD-Kapazität

    Mit dem i182, dem i164 und dem i145 aktualisiert Corsair die One-Serie: Die wassergekühlten Komplett-PCs werden mit doppelt so viel DDR4-Speicher und doppelt so großen SSDs ausgerüstet.


  1. 08:10

  2. 18:25

  3. 17:30

  4. 17:20

  5. 17:12

  6. 17:00

  7. 17:00

  8. 17:00