zurück zur Startseite
  


Zurück XHTMLforum > Webentwicklung (außer XHTML und CSS) > Serveradministration und serverseitige Scripte
Seite neu laden Facebook-"wurm"

Antwort
 
LinkBack Themen-Optionen Ansicht
  #1 (permalink)  
Alt 27.04.2011, 12:09
Benutzerbild von David
auch, ja!
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 08.11.2007
Beiträge: 2.626
David ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer Anblick
Standard Facebook-"wurm"

Es geht ja gerade die Nachricht um, dass auf Facebook ein "Wurm" kursiert, der Nachrichten an andere Nutzer verschickt.

Zuerst dachte ich, dass die bei Facebook doch immun gegen gewöhnliche XSRF-Angriffe sein müssten. Dann sah ich, dass der Schadcode, direkt in der Adresszeile des aktuellen Fensters eingegeben, ja auch Zugriff auf dessen DOM hat. Mir war bisher nicht bekannt, dass das geht.

Gibt es irgend eine Möglichkeit zu verhindern, dass darüber das System unterwandert wird. Herkömmliche Methoden gegen XRSF wie ein Page-Token laufen dann ja gewissermaßen ins leere, da sie ausgelesen werden können.
__________________
github | http://dnaber.de
Mit Zitat antworten
Sponsored Links
  #2 (permalink)  
Alt 27.04.2011, 20:13
ofHouse
XHTMLforum-Mitglied
 
Registriert seit: 20.04.2011
Beiträge: 128
Borsti befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von David Beitrag anzeigen
Es geht ja gerade die Nachricht um, dass auf Facebook ein "Wurm" kursiert, der Nachrichten an andere Nutzer verschickt.

Zuerst dachte ich, dass die bei Facebook doch immun gegen gewöhnliche XSRF-Angriffe sein müssten.
Gerade das gewöhnliche macht Facebook daran ja zu schaffen.

Man kann ja nicht gleichzeitig Leute aus dem gleichen Profil von der Nutzung der Buttons ausschließen, wenn diese sie gleichzeitig benutzen sollen.

Das Cross-Site Zeug war von je her gefährlich, nur durch die Sozialen Netzwerke gibt es nun überhaupt erst eine Plattform auf der es Sinn macht.

Aber das man mit DOM über die Adresszeile den Content ändern kann & drauf zu greifen kann, hab ich bis jetzt auch noch nicht gesehen (aber es stimmt).

Und es geht extrem weit, geh mal auf eine Seite mit Passwort-Feld und gib da mal ein x-beliebiges Passwort ein und führ dann mal folgenden Code aus:
Code:
javascript:(function(){var%20s,F,j,f,i;%20s%20=%20%22%22;
%20F%20=%20document.forms;%20for(j=0;%20j<F.length;%20++j)
%20{%20f%20=%20F[j];%20for%20(i=0;%20i<f.length;%20++i)
%20{%20if%20(f[i].type.toLowerCase()%20==%20%22password%22)
%20s%20+=%20f[i].value%20+%20%22\n%22;%20}%20}%20if
%20(s)%20alert(%22Passwords%20in%20forms%20on%20this
%20page:\n\n%22%20+%20s);%20else%20alert(%22There%20are
%20no%20passwords%20in%20forms%20on%20this
%20page.%22);})();
Also da sind Sicherheitslücken ohne Ende drin
__________________
LG f

@ofhouse
Mit Zitat antworten
Sponsored Links
  #3 (permalink)  
Alt 27.04.2011, 20:27
Benutzerbild von fox
fox fox ist offline
Erfahrener Benutzer
XHTMLforum-Kenner
 
Registriert seit: 11.09.2006
Beiträge: 1.010
fox sorgt für eine eindrucksvolle Atmosphärefox sorgt für eine eindrucksvolle Atmosphäre
Standard

Zitat:
Zitat von Borsti Beitrag anzeigen
Und es geht extrem weit, geh mal auf eine Seite mit Passwort-Feld und gib da mal ein x-beliebiges Passwort ein und führ dann mal folgenden Code aus:
Code:
javascript:(function(){var%20s,F,j,f,i;%20s%20=%20%22%22;
%20F%20=%20document.forms;%20for(j=0;%20j<F.length;%20++j)
%20{%20f%20=%20F[j];%20for%20(i=0;%20i<f.length;%20++i)
%20{%20if%20(f[i].type.toLowerCase()%20==%20%22password%22)
%20s%20+=%20f[i].value%20+%20%22\n%22;%20}%20}%20if
%20(s)%20alert(%22Passwords%20in%20forms%20on%20this
%20page:\n\n%22%20+%20s);%20else%20alert(%22There%20are
%20no%20passwords%20in%20forms%20on%20this
%20page.%22);})();
Also da sind Sicherheitslücken ohne Ende drin
Das betrifft aber hauptsächlich Nutzer mit Passwort-Managern wie z.B. Firefox. Opera beispielsweise setzt das Passwort erst mit dem Absenden ein, was deutlich sicherer ist.
Mit Zitat antworten
  #4 (permalink)  
Alt 27.04.2011, 20:38
ofHouse
XHTMLforum-Mitglied
 
Registriert seit: 20.04.2011
Beiträge: 128
Borsti befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Zitat von fox Beitrag anzeigen
Das betrifft aber hauptsächlich Nutzer mit Passwort-Managern wie z.B. Firefox. Opera beispielsweise setzt das Passwort erst mit dem Absenden ein, was deutlich sicherer ist.
Stimmt, zeigt aber mal wieder sehr einfach, wie wichtig es ist, wichtige Passwörter nicht mit den internen PW-Managern zu speichern.

Ich find's nur unbegreiflich, warum die Browser Zugriffe über die Adresszeile auf wichtigen Content und Manipulation überhaupt zulassen?
__________________
LG f

@ofhouse
Mit Zitat antworten
  #5 (permalink)  
Alt 28.04.2011, 14:09
Benutzerbild von David
auch, ja!
XHTMLforum-Kenner
Thread-Ersteller
 
Registriert seit: 08.11.2007
Beiträge: 2.626
David ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer AnblickDavid ist ein wunderbarer Anblick
Standard

Okay, das konkrete Anwendungsbeispiel nennt sich "Bookmarklet", also kleine Scripte, die als Bookmark gespeichert auf die aktuelle Seite angewendet werden.

Man muss also nur einem Unbedarften so ein Bookmarklet unterschieben, welches er dann auf einen Internen Bereich anwendet und hat ne ziemliche Lücke im System.

Die einzige Gegenmaßnahme, die ich momentan sehe ist, dass jede sicherheitskritische Aktion über einen bestätigenden Zwischenschritt laufen zu lassen.
__________________
github | http://dnaber.de
Mit Zitat antworten
Antwort

Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Facebook Disclaimer? Blödsinn? undruck Offtopic 16 08.07.2011 15:37
Stirbt das Internet "dank" Facebook? Rayne Offtopic 6 25.01.2011 11:32
Facebook Teilen Button? Ntracks CSS 0 07.08.2010 15:20
Facebook Connect: Facebook Avatar auslesen? sepp88 (X)HTML 1 10.03.2010 23:39
facebook fanfeld typo grösse ändern probot CSS 1 16.02.2010 13:25


Alle Zeitangaben in WEZ +2. Es ist jetzt 21:58 Uhr.