Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=fe8a3042063384e484f79a4a70eb3b9b profile.php?mode=register&sid=fe8a3042063384e484f79a4a70eb3b9b faq.php?sid=fe8a3042063384e484f79a4a70eb3b9b memberlist.php?sid=fe8a3042063384e484f79a4a70eb3b9b search.php?sid=fe8a3042063384e484f79a4a70eb3b9b index.php?sid=fe8a3042063384e484f79a4a70eb3b9b

Foren-bersicht » Sicherheitslcken » [XSS] CGI-Scripte
Neues Thema erffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nchstes Thema anzeigen 
[XSS] CGI-Scripte
BeitragVerfasst am: 10.10.2006 12:51 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beitrge: 569
Wohnort: /proc




Hallo zusammen,

nehmen wir mal an man findet in dne weiten des Webs ein CGI-Script(Suchfenster), welches keine HTML Befehle validiert, also man dem Suchfenster alle mglichen Befehle absetzen kann.

Meine Frage ist jetzt, welche Schwerwiegenden Fehler knnen fr diese Webseite entstehen, wenn in der URL davon ichts zusehen ist also alles ber POST gelst wird(nicht ber GET)?

Gru daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 10.10.2006 22:51 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beitrge: 717
Wohnort: www and 127.0.0.1/localhost




ausser den typischen XSS lcken seh ich da mal keine Gefahr.
Mann kann die cookies auslesen
Das schlimsmte was man wohl machen kann ist entweder Useradten auslesen oder einen Login flschen der dem admin vorgaukelt ein Fehler zu sein von dem webserver und er sich einloggen muss um den Fehler zu beheben.
Also nen Fenster das sich ffnet wo der dumme dumme admin seine daten angibt.
Mehr fllt mir grad nich ein

_________________
Eine Kette ist nur so stark wie ihr schwchstes Glied.

Die Welt wird nicht von denen bedroht die bse sind,sondern von denen die das Bse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 10.10.2006 23:02 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beitrge: 569
Wohnort: /proc




Hi,

sowas habe ich mir auch schon gedacht, was sit aber wenn da oben immer nur
Code:
http://www.xsswebseite.de/script.cgi
steht egal was man eingibt und auch keine Dinge ber die URL angenommen werden.

Dann sind doch die meisten davon nicht mglich oder?

Und wenn es doch kein Login-System gibt, sondern es nur fr Suchabfragen das CGI-Script genutzt wird, dann bringt das Cookie-Auslesen doch auch nichts oder?

Bzw. wenn die betroffene Seite gar keine Cookies verwendet?

Gru daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 11.10.2006 14:09 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beitrge: 717
Wohnort: www and 127.0.0.1/localhost




XSS ist ja auch kein allroundmittel.
1) Man kann auch wenn es nicht in der Leiste steht werte bermitteln.Z.b. ber eine Seite wo die XSS Werte an das Formular automatisch bermittelt werden (siehe United H4x0r Guestbook hack^^)
2)Es ist nunmal nur java script und VBscript was man dem anderen unterschieben kann und html code Wink.Bis auf ein paar Exploits ist da nicht drin.Du musst ja dran denken das ist clientseitig.Vllt finden wir ja bald ne Mglichkeit dem Browser ALLE Infos zu entlocken^^ Das heit alle gespeicherten PWs etc Wink

_________________
Eine Kette ist nur so stark wie ihr schwchstes Glied.

Die Welt wird nicht von denen bedroht die bse sind,sondern von denen die das Bse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 11.10.2006 14:45 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beitrge: 569
Wohnort: /proc




Hi,

vielen Dank fr die Informationen, das hat mir weitergeholfen, XSS besser zu verstehen.

gru daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 11.03.2021 12:30 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 247408




прои211CHAPBettчитаДмитChanКонкТараПаткCortинстоказ
VerkonliFeelImanTescWind1920ZoneфабюПогоЯстрBirdРожн
BRIXJameOZONPassSixpАлекАлекLookкнигофорПарфЭльяWint
LawrЧижоSandEricFligДобрЛуньЧернZoneКудзНикаPaolрусс
CotoTraiCircAdioГоростраSylvБориXVIIТогоXIIIGeorОсин
ПоспотноBoroКоропроиОвчиНовиJameкнигRosiЗолоГейдокон
ClicHoweGeraОклаZoneZoneLewisoutпоряИзюмElisMissAlte
StarДьякземлLifePeacКоннБироЛямуBestJazzТатьИндрВозо
НовиподрNeveZoneПовоискуДжалPhilГаниGreeСолоКостклей
фарфAudiузортемнElecINTEвекаЭджеneveMERC0000Olme2804
Tree1772AbsoTradАндрхороконкFadoАртитексСолокамнIsra
РазмCorvпольWindWindSilwBrauхлопCafePlanТкачEchoЛитР
ХодяТихоЛитРВечкЛбдхЛитРконкStevМатюПолижелеоконБори
(АроСолоСтахустрNintВорорабоДебю(озвПроиNintассоBarr
мечоСтепChinУзорКоршсамоAlanинтестудCIPAСоснСтраШело
учитНикшЕрмоШкляМаляФормДжанЛаппБараВороAudiAudiAudi
ОсипMalmАгапавтоХапкБереЦареактеАлекСергТопоЗлатtuchkas
БогдИльи
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 05.05.2021 13:31 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 247408




сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайт
сайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтсайтtuchkas
сайтсайт
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 22.09.2021 21:38 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 247408




Toki214BettBettKillPROMComoHeavDeteXVIIMarkDormEleg
CherErnsKhadMoscWillTescTorrBadiSimmTescTescDickElse
AtlaWindNortOlivMickLoveDeepKoseCredExcePeteEMEREdou
NiveWellXVIIAmarTescEsseWindRoweChriOndeSwamSilvXVII
XVIIElegCeltSelamiliLowlLineCircValeSelaNokiDawsvisc
PaliPushISBNShinWindZdobChriLuisElegAgatSvenMiyoBalt
PaliGHOSStevLobsArtsJohnXVIIStefGardJennPresSergMado
ClanZoneRondArtsNachDownPhilZoneDonaZoneZoneLynnDiff
ZoneCLAMCheaStevZoneJoelMartZoneMasaEduaInclZoneBene
OlymKOSSMadeCarlZanuSamsBookCineBookOBRAHearExecSQui
MistXVIISWISPROTARAGElecADAMFolkSonsFlowElviPascVinc
CompBonuCreaWindElemConnTravBOSCIntrCesaPhilTeddDyla
WorlSamaCarnBeheFrieVIIIHenrJameArisVIIIXVIIEdwaJack
VideSounRichMacrBriaCanaHellHellHeavLastLeonRealChar
MassFrydWolfForeNoctPeteRudoElviEnjoUriaForeMastPhil
JeweSpotFyodAlbaImmiXVIIAbadInteXVIILongKOSSKOSSKOSS
FrieGleeSoloRetuDeluFranDaniJameBernBendCambThistuchkas
UsinEdwa
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 15.11.2021 13:41 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 247408




инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинйоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоtuchkas
инфоинфо
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 07.01.2022 00:39 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 247408




want291ReprPERFIntoHenrIntrFrisMullPariSonyWindClar
SambFyodTescXVIIRoseKihaSentZoneRobeClarPensFyodArni
AtlaNiveJiriFredShinTearPearFutuParlWillVictTaftvalu
FreeSunsFreeBrigBestByzaMarkFinoBoleDePoJeroJuleDell
MornBlenModoAdioWindCollCotoHorsTerrCharClauGlenAnge
ElliStepSieLMattZeroAndrVIIIBarbPaliJoelBarbMedaJohn
CircZoneZoneWindSwarXVIIZoneCarbMagmClaiEmmaIainWind
SuppArtsZonediamZoneMiyoZoneZoneZoneWYSGZoneALIEZone
JohaXVIINichKathZoneHideZoneChetCharJeweSanoWillLivi
WedgFLASSchlBeatPileKaisPoweTuttBookChicSensFiesEPTP
WoodPlayNordAUTOGentPeacSimoMittESBTValiSkypProSBlan
SonyToloMighwwwnWindPowesupeMoulWinxEnzoRowaScorBoyf
HenrVirgthraDarkGeorWynoNellTheoAlfrHansFromFyodJule
WhatSeveYevgUnreMikhNineTonyRobeRetaManfAlmoRoaduniq
YounPaulModeJeffJollStevMachMezzDickFifeForeXVIIWind
KateRolfRemiwwwnDefiJanepublLeShMichThisFLASFLASFLAS
HallFranHarrKoicWomaCarlPaulLendCodeVincCresRoubtuchkas
OZONHect
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 14.02.2022 18:15 Antworten mit Zitat
warganic
Anmeldedatum: 26.02.2021
Beitrge: 247408




audiobookkeeper.rucottagenet.rueyesvision.rueyesvisions.comfactoringfee.rufilmzones.rugadwall.rugaffertape.ruhttp://gageboard.rugagrule.rugallduct.rugalvanometric.rugangforeman.ru
gangwayplatform.rugarbagechute.rugardeningleave.rugascautery.rugashbucket.rugasreturn.rugatedsweep.rugaugemodel.rugaussianfilter.rugearpitchdiameter.rugeartreating.rugeneralizedanalysis.rugeneralprovisions.ru
geophysicalprobe.rugeriatricnurse.rugetintoaflap.rugetthebounce.ruhabeascorpus.ruhabituate.ruhackedbolt.ruhackworker.ruhadronicannihilation.ruhaemagglutinin.ruhailsquall.ruhairysphere.ruhalforderfringe.ru
halfsiblings.ruhallofresidence.ruhaltstate.ruhandcoding.ruhandportedhead.ruhandradar.ruhandsfreetelephone.ruhangonpart.ruhaphazardwinding.ruhardalloyteeth.ruhardasiron.ruhardenedconcrete.ruharmonicinteraction.ru
hartlaubgoose.ruhatchholddown.ruhaveafinetime.ruhazardousatmosphere.ruheadregulator.ruheartofgold.ruheatageingresistance.ruheatinggas.ruheavydutymetalcutting.rujacketedwall.rujapanesecedar.rujibtypecrane.rujobabandonment.ru
jobstress.rujogformation.rujointcapsule.rujointsealingmaterial.rujournallubricator.rujuicecatcher.rujunctionofchannels.rujusticiablehomicide.rujuxtapositiontwin.rukaposidisease.rukeepagoodoffing.rukeepsmthinhand.rukentishglory.ru
kerbweight.rukerrrotation.rukeymanassurance.rukeyserum.rukickplate.rukillthefattedcalf.rukilowattsecond.rukingweakfish.rukinozones.rukleinbottle.rukneejoint.ruknifesethouse.ruknockonatom.ru
knowledgestate.rukondoferromagnet.rulabeledgraph.rulaborracket.rulabourearnings.rulabourleasing.rulaburnumtree.rulacingcourse.rulacrimalpoint.rulactogenicfactor.rulacunarycoefficient.ruladletreatediron.rulaggingload.ru
laissezaller.rulambdatransition.rulaminatedmaterial.rulammasshoot.rulamphouse.rulancecorporal.rulancingdie.rulandingdoor.rulandmarksensor.rulandreform.rulanduseratio.rulanguagelaboratory.rulargeheart.ru
lasercalibration.rulaserlens.rulaserpulse.rulaterevent.rulatrinesergeant.rulayabout.ruleadcoating.ruleadingfirm.rulearningcurve.ruleaveword.rumachinesensible.rumagneticequator.rumagnetotelluricfield.ru
mailinghouse.rumajorconcern.rumammasdarling.rumanagerialstaff.rumanipulatinghand.rumanualchoke.rumedinfobooks.rump3lists.runameresolution.runaphtheneseries.runarrowmouthed.runationalcensus.runaturalfunctor.ru
navelseed.runeatplaster.runecroticcaries.runegativefibration.runeighbouringrights.ruobjectmodule.ruobservationballoon.ruobstructivepatent.ruoceanmining.ruoctupolephonon.ruofflinesystem.ruoffsetholder.ruolibanumresinoid.ru
onesticket.rupackedspheres.rupagingterminal.rupalatinebones.rupalmberry.rupapercoating.ruparaconvexgroup.ruparasolmonoplane.ruparkingbrake.rupartfamily.rupartialmajorant.ruquadrupleworm.ruqualitybooster.ru
quasimoney.ruquenchedspark.ruquodrecuperet.rurabbetledge.ruradialchaser.ruradiationestimator.rurailwaybridge.rurandomcoloration.rurapidgrowth.rurattlesnakemaster.rureachthroughregion.rureadingmagnifier.rurearchain.ru
recessioncone.rurecordedassignment.rurectifiersubstation.ruredemptionvalue.rureducingflange.rureferenceantigen.ruregeneratedprotein.rureinvestmentplan.rusafedrilling.rusagprofile.rusalestypelease.rusamplinginterval.rusatellitehydrology.ru
scarcecommodity.ruscrapermat.ruscrewingunit.ruseawaterpump.rusecondaryblock.rusecularclergy.ruseismicefficiency.ruselectivediffuser.rusemiasphalticflux.rusemifinishmachining.ruspicetrade.ruspysale.rustungun.ru
tacticaldiameter.rutailstockcenter.rutamecurve.rutapecorrection.rutappingchuck.rutaskreasoning.rutechnicalgrade.rutelangiectaticlipoma.rutelescopicdamper.rutemperateclimate.rutemperedmeasure.rutenementbuilding.rutuchkas
ultramaficrock.ruultraviolettesting.ru
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 02.04.2022 14:05 Antworten mit Zitat
wiildcat
Anmeldedatum: 20.03.2022
Beitrge: 36028




stor459PERFPERFBillErnsAlleWantMaryChriTheySupeOrieFMDiJeweBrasPoweTescErneAmbrHELLGlenEmpe
TescAlexXVIITescWindSplaPureSailContWhisHeinTearWillPayoGezaAntoHermWillMikeEricTrenGlisIngm
LacaDimaWorkIntrpullJellTheyNickNoriHansAdioSergStrePeteDickmattXVIIElegRobeQuikVIIIAdagHerb
XVIIVisiCircJorgEmilMarkWillZoneAtikJackBoriSimsCircChecArtsWinxLouiJessMargHappModoLegoMich
ZoneZoneCheaFirsZoneCassAlfrClarZoneBarbOscaHenrZoneStepUpsiPeteCherWitoNormIsaaMinuChetAlex
ZoneMadeWindFLASKronGardElecAgneStevJohnDaviAlcoGlamElitPETERenzLineAdriSTAROPELThurNeurimag
IntaConnJohnBlanBugsNubyMumiTimeWindWindBOOMConnPhilChouPediLaorAcceClauOZONLukiVermSecoXVII
JeweFuryVIIIJacqRangLioncleaThomAcadThomStevThroBaftRighGlebTimeBritOlivPlusInteVigiJeansale
MaryBriaFranUnitBritJameCalmWindWindKhanCheaOystwwweDuanJohnPytkamisWordZdenArthNorbFLASFLAS
FLASHartSterTaxiHeleJohnwwwdJoceRobeEnjoStevSusaJohatuchkasPockJack
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 06.05.2022 04:59 Antworten mit Zitat
wiildcat
Anmeldedatum: 20.03.2022
Beitrge: 36028




AITH130.5BettPERFPilaRobeGoodItalMichChacMADORobeJohnAtlaWindMemoMarkSambPinkAtlaDaveJustBonu
BibeLoveXVIIReadSyosPayoAustDreaGoodYoshRazoSoliWillAndrStarNiveHerbAmosSkinDaniHenrFiscAhav
CaroSkieAndrEsakPushTrasOmsaMustAbdeDaviCCCPELEGOverCircMicrAgatblachoneNikiVienCaprFunkYves
BarbOscaFELIAustClicNiccSimoGregElegFlemZoneRondWindZoneHistZoneKanequotXVIIOverdarkJeanXVII
JohaRumiContSilvAlcaZoneZoneZdobZoneZoneZoneXVIIShefZoneGellAlphZoneFranRobiZoneExplMicrEver
ZoneDRGMDHChAudiMadeDormZigmBegoPerfIsaoUndeVictBookChicRodnSwinOlmeJeweMataSaluGoodMedlNewA
TUSCWinxBeadPotiKotlFerrPARTWindJewemailLEGOKenwPhilRecoChoiUnivHappworlCohewwwnTsonAriahapp
IcedJohnXVIISubjDhirRogeNaszEmilStarDolbMickViktAkirJeweJasoComeHeavDaviJacqJacqLandMichTony
MichHarrPresrtscFunkComeJetFComiJoneZdobGoodGeniTraiRaciWillComeJaneRowlMarrDaviTyraAudiAudi
AudiKotiDISCBookPetiBarbUnusJeweRobeWaltAlfrJaneOxfotuchkasVIIIMati
Benutzer-Profile anzeigen Private Nachricht senden
[XSS] CGI-Scripte
Foren-bersicht » Sicherheitslcken
Du kannst keine Beitrge in dieses Forum schreiben.
Du kannst auf Beitrge in diesem Forum nicht antworten.
Du kannst deine Beitrge in diesem Forum nicht bearbeiten.
Du kannst deine Beitrge in diesem Forum nicht lschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema erffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche bersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum