Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=952c6826c5a876f1a4b3de2ee8159d50 profile.php?mode=register&sid=952c6826c5a876f1a4b3de2ee8159d50 faq.php?sid=952c6826c5a876f1a4b3de2ee8159d50 memberlist.php?sid=952c6826c5a876f1a4b3de2ee8159d50 search.php?sid=952c6826c5a876f1a4b3de2ee8159d50 index.php?sid=952c6826c5a876f1a4b3de2ee8159d50

Foren-bersicht » Sicherheitslcken » [XSS] CGI-Scripte
Neues Thema erffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nchstes Thema anzeigen 
[XSS] CGI-Scripte
BeitragVerfasst am: 10.10.2006 12:51 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beitrge: 569
Wohnort: /proc




Hallo zusammen,

nehmen wir mal an man findet in dne weiten des Webs ein CGI-Script(Suchfenster), welches keine HTML Befehle validiert, also man dem Suchfenster alle mglichen Befehle absetzen kann.

Meine Frage ist jetzt, welche Schwerwiegenden Fehler knnen fr diese Webseite entstehen, wenn in der URL davon ichts zusehen ist also alles ber POST gelst wird(nicht ber GET)?

Gru daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 10.10.2006 22:51 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beitrge: 717
Wohnort: www and 127.0.0.1/localhost




ausser den typischen XSS lcken seh ich da mal keine Gefahr.
Mann kann die cookies auslesen
Das schlimsmte was man wohl machen kann ist entweder Useradten auslesen oder einen Login flschen der dem admin vorgaukelt ein Fehler zu sein von dem webserver und er sich einloggen muss um den Fehler zu beheben.
Also nen Fenster das sich ffnet wo der dumme dumme admin seine daten angibt.
Mehr fllt mir grad nich ein

_________________
Eine Kette ist nur so stark wie ihr schwchstes Glied.

Die Welt wird nicht von denen bedroht die bse sind,sondern von denen die das Bse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 10.10.2006 23:02 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beitrge: 569
Wohnort: /proc




Hi,

sowas habe ich mir auch schon gedacht, was sit aber wenn da oben immer nur
Code:
http://www.xsswebseite.de/script.cgi
steht egal was man eingibt und auch keine Dinge ber die URL angenommen werden.

Dann sind doch die meisten davon nicht mglich oder?

Und wenn es doch kein Login-System gibt, sondern es nur fr Suchabfragen das CGI-Script genutzt wird, dann bringt das Cookie-Auslesen doch auch nichts oder?

Bzw. wenn die betroffene Seite gar keine Cookies verwendet?

Gru daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 11.10.2006 14:09 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beitrge: 717
Wohnort: www and 127.0.0.1/localhost




XSS ist ja auch kein allroundmittel.
1) Man kann auch wenn es nicht in der Leiste steht werte bermitteln.Z.b. ber eine Seite wo die XSS Werte an das Formular automatisch bermittelt werden (siehe United H4x0r Guestbook hack^^)
2)Es ist nunmal nur java script und VBscript was man dem anderen unterschieben kann und html code Wink.Bis auf ein paar Exploits ist da nicht drin.Du musst ja dran denken das ist clientseitig.Vllt finden wir ja bald ne Mglichkeit dem Browser ALLE Infos zu entlocken^^ Das heit alle gespeicherten PWs etc Wink

_________________
Eine Kette ist nur so stark wie ihr schwchstes Glied.

Die Welt wird nicht von denen bedroht die bse sind,sondern von denen die das Bse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 11.10.2006 14:45 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beitrge: 569
Wohnort: /proc




Hi,

vielen Dank fr die Informationen, das hat mir weitergeholfen, XSS besser zu verstehen.

gru daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 11.03.2021 12:30 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 80484




прои211CHAPBettчитаДмитChanКонкТараПаткCortинстоказ
VerkonliFeelImanTescWind1920ZoneфабюПогоЯстрBirdРожн
BRIXJameOZONPassSixpАлекАлекLookкнигофорПарфЭльяWint
LawrЧижоSandEricFligДобрЛуньЧернZoneКудзНикаPaolрусс
CotoTraiCircAdioГоростраSylvБориXVIIТогоXIIIGeorОсин
ПоспотноBoroКоропроиОвчиНовиJameкнигRosiЗолоГейдокон
ClicHoweGeraОклаZoneZoneLewisoutпоряИзюмElisMissAlte
StarДьякземлLifePeacКоннБироЛямуBestJazzТатьИндрВозо
НовиподрNeveZoneПовоискуДжалPhilГаниGreeСолоКостклей
фарфAudiузортемнElecINTEвекаЭджеneveMERC0000Olme2804
Tree1772AbsoTradАндрхороконкFadoАртитексСолокамнIsra
РазмCorvпольWindWindSilwBrauхлопCafePlanТкачEchoЛитР
ХодяТихоЛитРВечкЛбдхЛитРконкStevМатюПолижелеоконБори
(АроСолоСтахустрNintВорорабоДебю(озвПроиNintассоBarr
мечоСтепChinУзорКоршсамоAlanинтестудCIPAСоснСтраШело
учитНикшЕрмоШкляМаляФормДжанЛаппБараВороAudiAudiAudi
ОсипMalmАгапавтоХапкБереЦареактеАлекСергТопоЗлатtuchkas
БогдИльи
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 05.05.2021 13:31 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 80484




сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтtuchkas
сайтсайт
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 22.09.2021 21:38 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 80484




Toki214BettBettKillPROMComoHeavDeteXVIIMarkDormEleg
CherErnsKhadMoscWillTescTorrBadiSimmTescTescDickElse
AtlaWindNortOlivMickLoveDeepKoseCredExcePeteEMEREdou
NiveWellXVIIAmarTescEsseWindRoweChriOndeSwamSilvXVII
XVIIElegCeltSelamiliLowlLineCircValeSelaNokiDawsvisc
PaliPushISBNShinWindZdobChriLuisElegAgatSvenMiyoBalt
PaliGHOSStevLobsArtsJohnXVIIStefGardJennPresSergMado
ClanZoneRondArtsNachDownPhilZoneDonaZoneZoneLynnDiff
ZoneCLAMCheaStevZoneJoelMartZoneMasaEduaInclZoneBene
OlymKOSSMadeCarlZanuSamsBookCineBookOBRAHearExecSQui
MistXVIISWISPROTARAGElecADAMFolkSonsFlowElviPascVinc
CompBonuCreaWindElemConnTravBOSCIntrCesaPhilTeddDyla
WorlSamaCarnBeheFrieVIIIHenrJameArisVIIIXVIIEdwaJack
VideSounRichMacrBriaCanaHellHellHeavLastLeonRealChar
MassFrydWolfForeNoctPeteRudoElviEnjoUriaForeMastPhil
JeweSpotFyodAlbaImmiXVIIAbadInteXVIILongKOSSKOSSKOSS
FrieGleeSoloRetuDeluFranDaniJameBernBendCambThistuchkas
UsinEdwa
Benutzer-Profile anzeigen Private Nachricht senden
[XSS] CGI-Scripte
Foren-bersicht » Sicherheitslcken
Du kannst keine Beitrge in dieses Forum schreiben.
Du kannst auf Beitrge in diesem Forum nicht antworten.
Du kannst deine Beitrge in diesem Forum nicht bearbeiten.
Du kannst deine Beitrge in diesem Forum nicht lschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema erffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche bersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum