Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › MXSS: Cross-Site…

Was kann man damit machen?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was kann man damit machen?

    Autor: Anonymouse 02.04.19 - 16:31

    Habe den Text zwar gelesen, aber hier fehlt mir wohl einfach das KnowHow.
    Was genau kann man damit anstellen, wenn es denn noch funktionieren würde?

  2. Re: Was kann man damit machen?

    Autor: Noren 02.04.19 - 16:46

    Du könntest einen Link verbreiten welcher Code enthält und diesen beim Öffnen ausführt. In einem Worst Case Szenario könnte man die Session/den Account übernehmen. (Google dürfte da aber zusätzliche Sicherheitsmechanismen eingebaut haben, sodass dies nicht möglich ist.)

  3. Re: Was kann man damit machen?

    Autor: Compufreak345 02.04.19 - 16:50

    Dir einen Link zu einer vorausgefüllten Google-Suche schicken die dann innerhalb der Google-Website Javascript ausführt um lustige Dinge zu tun wie z.B.:

    * Die Seite so manipulieren dass z.B. deine eingegebenen Google-Logindaten oder Suchanfragen woanders hin weitergeleitet werden
    * Werbung anzeigen
    * Scareware bewerben
    * Dich auf eine beliebige Seite weiterleiten
    * Kryptowährung schürfen
    * Eventuelle andere Javascript-Lücken ausnutzen
    * Je nachdem wie die Google-Authentifizierung / CORS-Regeln aufgebaut ist/sind vielleicht sogar dein Gmail-Konto auslesen

  4. Re: Was kann man damit machen?

    Autor: Anonymouse 02.04.19 - 16:51

    Compufreak345 schrieb:
    --------------------------------------------------------------------------------
    > Dir einen Link zu einer vorausgefüllten Google-Suche schicken

    Ahh ja okay. Das hat mir irgendwie in meiner Vorstellungskraft gefehlt.
    Dank an euch beide!

  5. Re: Was kann man damit machen?

    Autor: Kein Kostverächter 02.04.19 - 16:53

    XSS (Cross Site Scripting) ist der Oberbegriff von Methoden, Javascript im Kontext einer anderen Webseite auszuführen. Hier mal ein einfaches Beispiel (das erschreckenderweise immer noch auf genug Seiten funktioniert):
    Stell dir ein Forum vor, das HTML in den Postings erlaubt und die Eingaben nicht weiter prüft, sondern alles einfach so auch wieder ausliefert.
    Jetzt postet jemand HTML-Code, der JavaScript enthält, dass der Browser automatisch ausführt.
    Das passiert dann bei jedem, der mit eingeschaltetem JavaScript diesen Post liest.
    Dann hat das Script Zugriff auf den Dokumentenbaum der Seite und kann alles mögliche verändern.
    Das kann irgendein blöder Scherz sein, bei dem Text oder Bilder ausgetauscht werden, das kann aber auch etwas böseres sein, zum Beispiel die Aufforderung, seine Zugangsdaten noch einmal einzugeben oder eventuelle Downloadlinks ändern, dass der User unwissentlich Schadsoftware herunterlädt. Für den normalen User ist nicht zu erkennen, dass die Änderungen nicht Teil der eigentlichen Webseite sind.
    Durch schlecht entwickelte Seiten und / oder Fehler in Bibliotheken wie den beiden im Artikel genannten gibt es immer wieder Lücken, über die Angreifer so Scripte auf Seiten unterbringen, die Benutzereingaben annehmen und diese auch wieder ausgeben.

    Bis die Tage,

    KK

    ----------------------------------------------------------
    Mach dir deine eigenen Götter, und unterlasse es, dich mit einer schnöden Religion zu beflecken.
    (Epikur, griech. Phil., 341-270 v.Chr.)
    ----------------------------------------------------------
    We provide AI Blockchain Cloud (ABC) enabled applications bringing Enterprise level synergies to vertically integrated business processes.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SSI SCHÄFER Automation GmbH, Giebelstadt bei Würzburg
  2. Bureau Veritas Certification Germany GmbH, deutschlandweit (Home-Office)
  3. Techniker Krankenkasse, Hamburg
  4. Forschungszentrum Jülich GmbH, Jülich

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 139,00€
  2. 111,00€
  3. 149,90€
  4. (u. a. Tales of Vesperia: Definitive Edition für 21,99€, Tropico 5: Complete Collection für 6...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Projektmanagement: An der falschen Stelle automatisiert
    Projektmanagement
    An der falschen Stelle automatisiert

    Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
    Ein Erfahrungsbericht von Marvin Engel


      Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
      Ada und Spark
      Mehr Sicherheit durch bessere Programmiersprachen

      Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
      Von Johannes Kanig

      1. Das andere How-to Deutsch lernen für Programmierer
      2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

      1. Jobs durch Huawei: "Kein Huawei-Mitarbeiter steigt auf einen Mobilfunkmast"
        Jobs durch Huawei
        "Kein Huawei-Mitarbeiter steigt auf einen Mobilfunkmast"

        Huawei arbeitet in Deutschland mit vielen Partnern zusammen. Daher steigen die Beschäftigten des chinesischen Ausrüsters in Deutschland auch nicht selbst auf die Masten.

      2. Musikstreaming: Apple wirft Spotify falsche Angaben vor
        Musikstreaming
        Apple wirft Spotify falsche Angaben vor

        Im Streit mit Spotify über Provisionen im App Store hat der US-Konzern Apple die Vorwürfe zurückgewiesen. Der Streamingdienst habe überhöhte Zahlen genannt.

      3. Steam: Valve will Ubuntu-Unterstützung beenden
        Steam
        Valve will Ubuntu-Unterstützung beenden

        Die Steam-Plattform wird offenbar auf künftigen Versionen von Ubuntu nicht mehr durch Valve unterstützt. Der Grund dafür ist wohl das Ende des 32-Bit-Supports. Die Ubuntu-Entwickler entdecken derweil selbst die Probleme ihrer Idee.


      1. 15:47

      2. 15:35

      3. 15:19

      4. 14:54

      5. 14:30

      6. 14:00

      7. 12:05

      8. 11:56