Hallo,
Meine Frage ist was ist eine XSS Lücke`?
Was kann man mit der Lücke anstellen`?
Was ist den daran ein Vorteil`?
XSS Lücke - Was ist das?
-
-
http://bfy.tw/5JQU - Hier steht alles nächstes mal besser recherchieren ok?
-
http://bfy.tw/5JQU - Hier steht alles nächstes mal besser recherchieren ok?
Das habe ich ja auch noch drauf xD Nur das will ich von euch erklärt haben. xd
-
Das habe ich ja auch noch drauf xD Nur das will ich von euch erklärt haben. xd
Ähm und welchen Sinn hast Du dahinter? wtf :pinch:
-
Kennste das wenn der Lehrer es nicht erklären kann aber die Schüler schon xD
Klar aber das hier auf RetroTown sind keine Schüler, sondern Internet-Suchtis.
Hier meine Erklärung
Cross-Site-Scripting (XSS; deutsch Webseitenübergreifendes Skripting) bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft werden. Aus diesem vertrauenswürdigen Kontext kann dann ein Angriff gestartet werden.
Ziel ist es meist, an sensible Daten des Benutzers zu gelangen, um beispielsweise seine Benutzerkonten zu übernehmen (Identitätsdiebstahl). -
Ganz knapp: es wird JS Code (nicht nur) eingebunden wo es eigentlich nicht eingebunden werden sollte.
Man kann so einen Cookiestealer reinbauen und die Kontrolle über die Webseite übernehmen.Deshalb Kinder immer schön htmlentities() nutzen
-
Man kann mit XSS sehr viel Scheiße anrichten, zum Beispiel geschehen meistens Sicherheitslücken dadurch, dass der Input nicht richtig gefiltert wird, es wird normales HTML Code eingegeben und die Webseite wird es ganz normal lesen und ausführen. Dadurch kann man zum Beispiel Cookie-Stealer, Weiterleitungen etc. machen.
Sagen wir mal du bist ein normaler Benutzer und kannst eine Support-Anfrage an einem Admin-Dashboard zuschicken. Du gibst in das HTML-Form beispielsweise "<script>alert("XSS");</script" ein und wenn dann der Supporter die "Nachricht" anschaut, bekommt er ein Alert aufs Gesicht geklatscht. Man kann dort auch JavaScript Cookie Stealer einbinden, wodurch du dann vom Supporter ins Account rutschen kannst.
Cheers,
Eloq
-
Ich stimme meine beiden Vorposter in allen Fällen zu. Aber es gibt auch andere Dinge, wovor man sich unbedingt schützen sollte.
Darunter gehört auch CRSF (wurde öfters auf RetroTown angewendet, danke an Nova).https://de.wikipedia.org/wiki/Cross-Site-Request-Forgery
Meine Erklärung: Man schickt über eine externe Seite die (POST)Requests an Seite xxx. Bestes Beispiel wäre es, wenn ich auf RetroTown mein Passwort ändern möchte.Code<form method="post" action="https://retrotown.ws/index.php/AccountManagement/"> <input type="password" id="password" name="password" value="neues password" required="required" class="medium"> </form>Und via Javascript sendet man dieses Formular ab, wenn der User die Seite betritt. Deswegen sollte man ein hidden input machen, den man auch abfragt.
[PHP] CSRF Protection by Steve
Sorry falls es nicht wirklich zum Beitrag passt.
Danke! -
Ich stimme meine beiden Vorposter in allen Fällen zu. Aber es gibt auch andere Dinge, wovor man sich unbedingt schützen sollte.
Darunter gehört auch CRSF (wurde öfters auf RetroTown angewendet, danke an Nova).https://de.wikipedia.org/wiki/Cross-Site-Request-Forgery
Meine Erklärung: Man schickt über eine externe Seite die (POST)Requests an Seite xxx. Bestes Beispiel wäre es, wenn ich auf RetroTown mein Passwort ändern möchte.Code<form method="post" action="https://retrotown.ws/index.php/AccountManagement/"> <input type="password" id="password" name="password" value="neues password" required="required" class="medium"> </form>Und via Javascript sendet man dieses Formular ab, wenn der User die Seite betritt. Deswegen sollte man ein hidden input machen, den man auch abfragt.
[PHP] CSRF Protection by Steve
Sorry falls es nicht wirklich zum Beitrag passt.
Danke!csrf beste
-
Ich stimme meine beiden Vorposter in allen Fällen zu. Aber es gibt auch andere Dinge, wovor man sich unbedingt schützen sollte.
Darunter gehört auch CRSF (wurde öfters auf RetroTown angewendet, danke an Nova).https://de.wikipedia.org/wiki/Cross-Site-Request-Forgery
Meine Erklärung: Man schickt über eine externe Seite die (POST)Requests an Seite xxx. Bestes Beispiel wäre es, wenn ich auf RetroTown mein Passwort ändern möchte.Code<form method="post" action="https://retrotown.ws/index.php/AccountManagement/"> <input type="password" id="password" name="password" value="neues password" required="required" class="medium"> </form>Und via Javascript sendet man dieses Formular ab, wenn der User die Seite betritt. Deswegen sollte man ein hidden input machen, den man auch abfragt.
[PHP] CSRF Protection by Steve
Sorry falls es nicht wirklich zum Beitrag passt.
Danke!Es gibt mehrere Wege eine Seite auszuradieren, SQL-Injections, CSRF, XSS etc.
-
Es gibt mehrere Wege eine Seite auszuradieren, SQL-Injections, CSRF, XSS etc.
Social Engineering....
-
Social Engineering....
Hat beim ST leider nur 5 mal geklappt.
-
Hat beim ST leider nur 5 mal geklappt.
Sind halt nicht so dumm.
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!