27.04.2011, 12:09
|
||||
|
||||
Facebook-"wurm"
Es geht ja gerade die Nachricht um, dass auf Facebook ein "Wurm" kursiert, der Nachrichten an andere Nutzer verschickt.
Zuerst dachte ich, dass die bei Facebook doch immun gegen gewöhnliche XSRF-Angriffe sein müssten. Dann sah ich, dass der Schadcode, direkt in der Adresszeile des aktuellen Fensters eingegeben, ja auch Zugriff auf dessen DOM hat. Mir war bisher nicht bekannt, dass das geht. Gibt es irgend eine Möglichkeit zu verhindern, dass darüber das System unterwandert wird. Herkömmliche Methoden gegen XRSF wie ein Page-Token laufen dann ja gewissermaßen ins leere, da sie ausgelesen werden können. 
|
| Sponsored Links |
|
27.04.2011, 20:13
|
|||
|
|||
|
Zitat:
Man kann ja nicht gleichzeitig Leute aus dem gleichen Profil von der Nutzung der Buttons ausschließen, wenn diese sie gleichzeitig benutzen sollen. Das Cross-Site Zeug war von je her gefährlich, nur durch die Sozialen Netzwerke gibt es nun überhaupt erst eine Plattform auf der es Sinn macht. Aber das man mit DOM über die Adresszeile den Content ändern kann & drauf zu greifen kann, hab ich bis jetzt auch noch nicht gesehen (aber es stimmt). Und es geht extrem weit, geh mal auf eine Seite mit Passwort-Feld und gib da mal ein x-beliebiges Passwort ein und führ dann mal folgenden Code aus: Code:
javascript:(function(){var%20s,F,j,f,i;%20s%20=%20%22%22;
%20F%20=%20document.forms;%20for(j=0;%20j<F.length;%20++j)
%20{%20f%20=%20F[j];%20for%20(i=0;%20i<f.length;%20++i)
%20{%20if%20(f[i].type.toLowerCase()%20==%20%22password%22)
%20s%20+=%20f[i].value%20+%20%22\n%22;%20}%20}%20if
%20(s)%20alert(%22Passwords%20in%20forms%20on%20this
%20page:\n\n%22%20+%20s);%20else%20alert(%22There%20are
%20no%20passwords%20in%20forms%20on%20this
%20page.%22);})();
|
| Sponsored Links |
|
27.04.2011, 20:27
|
||||
|
||||
|
Zitat:
|
|
27.04.2011, 20:38
|
|||
|
|||
|
Zitat:
 Ich find's nur unbegreiflich, warum die Browser Zugriffe über die Adresszeile auf wichtigen Content und Manipulation überhaupt zulassen?
|
|
28.04.2011, 14:09
|
||||
|
||||
|
Okay, das konkrete Anwendungsbeispiel nennt sich "Bookmarklet", also kleine Scripte, die als Bookmark gespeichert auf die aktuelle Seite angewendet werden.
Man muss also nur einem Unbedarften so ein Bookmarklet unterschieben, welches er dann auf einen Internen Bereich anwendet und hat ne ziemliche Lücke im System. Die einzige Gegenmaßnahme, die ich momentan sehe ist, dass jede sicherheitskritische Aktion über einen bestätigenden Zwischenschritt laufen zu lassen. 
|
 |
| Themen-Optionen | |
| Ansicht | |
|
|
Ähnliche Themen
|
||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Facebook Disclaimer? Blödsinn? | undruck | Offtopic | 16 | 08.07.2011 15:37 |
| Stirbt das Internet "dank" Facebook? | Rayne | Offtopic | 6 | 25.01.2011 11:32 |
| Facebook Teilen Button? | Ntracks | CSS | 0 | 07.08.2010 15:20 |
| Facebook Connect: Facebook Avatar auslesen? | sepp88 | (X)HTML | 1 | 10.03.2010 23:39 |
| facebook fanfeld typo grösse ändern | probot | CSS | 1 | 16.02.2010 13:25 |
Linear-Darstellung
