HabboR.de Sicherheitslücke

  • Halli Hallo,

    ich wurd gerade durch einen Blick in die Logs zum finden von Sicherheitslücken (Klick Kick) auf das Bild einer Person namens "Toto" aufmerksam. Auf diesem Bild war das Habbor.de Bottool zu finden auf welchen es so schien als sei fremder HTML Code eingeschleust geworden.

    Natürlich habe ich nicht gezögert es auszuprobieren:

    Anscheind werden "hidden" Felder ausgefüllt, dessen Inhalt nicht gefiltert wird. Durch diese XSS ist es möglich den Account anderer HabboRs zu übernehmen. Dafür ist nur eine manipulierte Seite notwendig.

    Deswegen noch mal an euch "Skriptkiddys": Ihr solltet solche Sachen lieber nicht bei uns suchen und nicht irgendwelche Daten senden, welche nicht umbedingt für öffentlichkeit bestimmt sein sollten.
    Wir loggen jede verdächtige Anfrage.

    Edit//
    Es ist übrigends auch möglich eingene Packete durch das Bottool in den Clienten zu injecten. Somit kann dann z.B. der Besucher des Raums die Meldung erhalten, dass er gebannt wurde oder eine Nachricht vom Staff erhalten habe.


    :!: FileXs #Lieblingsmod. :!:
    ... still making kids cry since 2015.

    Einmal editiert, zuletzt von Aapoh (21. September 2012 um 12:14)

  • Die gleiche Lücke ist nochmal beim VIP-Kauf Formular zu finden, und das nach meinen Probieren in ziemlich vielen Retros.
    Logs sind ja schön und gut, aber bis diese geprüft werden, kann es schon zu spät sein. Eventuell hat der Angreifer bereits den ein oder anderen Account ergattert. Da helfen die Logs einem auch nicht mehr das Geschehen rückgängig zu machen.

    Auf der anderen Seite können so die eventuellen Schwachstellen auch gefunden und geschlossen werden.

  • Das ist mal wieder so eine Lücke die es seit geraumer Zeit in Retros gibt. Standardmäßig probieren Leute wie du jegliche Inputs aus um sowas zu finden. Tu' allen einen Gefallen und geh damit direkt zu den Hotelleitern, sonst hat es keinen Sinn.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!