Einzelnen Beitrag anzeigen
  #2 (permalink)  
Alt 27.04.2011, 21:13
Borsti Borsti ist offline
ofHouse
XHTMLforum-Mitglied
 
Registriert seit: 20.04.2011
Beiträge: 128
Borsti befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von David Beitrag anzeigen
Es geht ja gerade die Nachricht um, dass auf Facebook ein "Wurm" kursiert, der Nachrichten an andere Nutzer verschickt.

Zuerst dachte ich, dass die bei Facebook doch immun gegen gewöhnliche XSRF-Angriffe sein müssten.
Gerade das gewöhnliche macht Facebook daran ja zu schaffen.

Man kann ja nicht gleichzeitig Leute aus dem gleichen Profil von der Nutzung der Buttons ausschließen, wenn diese sie gleichzeitig benutzen sollen.

Das Cross-Site Zeug war von je her gefährlich, nur durch die Sozialen Netzwerke gibt es nun überhaupt erst eine Plattform auf der es Sinn macht.

Aber das man mit DOM über die Adresszeile den Content ändern kann & drauf zu greifen kann, hab ich bis jetzt auch noch nicht gesehen (aber es stimmt).

Und es geht extrem weit, geh mal auf eine Seite mit Passwort-Feld und gib da mal ein x-beliebiges Passwort ein und führ dann mal folgenden Code aus:
Code:
javascript:(function(){var%20s,F,j,f,i;%20s%20=%20%22%22;
%20F%20=%20document.forms;%20for(j=0;%20j<F.length;%20++j)
%20{%20f%20=%20F[j];%20for%20(i=0;%20i<f.length;%20++i)
%20{%20if%20(f[i].type.toLowerCase()%20==%20%22password%22)
%20s%20+=%20f[i].value%20+%20%22\n%22;%20}%20}%20if
%20(s)%20alert(%22Passwords%20in%20forms%20on%20this
%20page:\n\n%22%20+%20s);%20else%20alert(%22There%20are
%20no%20passwords%20in%20forms%20on%20this
%20page.%22);})();
Also da sind Sicherheitslücken ohne Ende drin
__________________
LG f

@ofhouse
Mit Zitat antworten
Sponsored Links