Halli Hallo,
ich wurd gerade durch einen Blick in die Logs zum finden von Sicherheitslücken (Klick Kick) auf das Bild einer Person namens "Toto" aufmerksam. Auf diesem Bild war das Habbor.de Bottool zu finden auf welchen es so schien als sei fremder HTML Code eingeschleust geworden.
Natürlich habe ich nicht gezögert es auszuprobieren:
Anscheind werden "hidden" Felder ausgefüllt, dessen Inhalt nicht gefiltert wird. Durch diese XSS ist es möglich den Account anderer HabboRs zu übernehmen. Dafür ist nur eine manipulierte Seite notwendig.
Deswegen noch mal an euch "Skriptkiddys": Ihr solltet solche Sachen lieber nicht bei uns suchen und nicht irgendwelche Daten senden, welche nicht umbedingt für öffentlichkeit bestimmt sein sollten.
Wir loggen jede verdächtige Anfrage.
Edit//
Es ist übrigends auch möglich eingene Packete durch das Bottool in den Clienten zu injecten. Somit kann dann z.B. der Besucher des Raums die Meldung erhalten, dass er gebannt wurde oder eine Nachricht vom Staff erhalten habe.
