mboost-dp1
det var enda ret nemt at injecte fejlen...
teksten der skulle til var noget i retningen:
<scrtip>NOGET_JEG_HAR_GLEMT?<script>alert(1)</script>
NOGET_JEG_HAR_GLEMT (en variable jeg har glemt navnet på) - var sikkert en variable på siden, som blev fortolket... eller undladt at blive encoded... den første script blok blev nemlig HTMLENcoded
teksten der skulle til var noget i retningen:
<scrtip>NOGET_JEG_HAR_GLEMT?<script>alert(1)</script>
NOGET_JEG_HAR_GLEMT (en variable jeg har glemt navnet på) - var sikkert en variable på siden, som blev fortolket... eller undladt at blive encoded... den første script blok blev nemlig HTMLENcoded
Kommentarer der afvikler javascript? Ja, jeg husker dengang for ca 10år siden da det var det niveau man udviklede hjemmesider på.
Heldigvis er der ingen der er så hjernedød i dag at de tillader noget så banalt.
Det svarer til at man ikke låser sin hovedør fordi man regner med at tyven formoder den er låst, og derfor ikke tager i håndtaget.
Heldigvis er der ingen der er så hjernedød i dag at de tillader noget så banalt.
Det svarer til at man ikke låser sin hovedør fordi man regner med at tyven formoder den er låst, og derfor ikke tager i håndtaget.
#9 - Nej kun newz, youtube og sikkert 99 millioner andre sider..
Synes først at det er inde for de sidste par år at folk er begyndt at gå op i sikring af XSS sårbarheder
youtube havde jo også sikret sig imod HTML/JS i kommentarer, bare ikke godt nok..
Synes først at det er inde for de sidste par år at folk er begyndt at gå op i sikring af XSS sårbarheder
youtube havde jo også sikret sig imod HTML/JS i kommentarer, bare ikke godt nok..
Eniac (9) skrev:Det svarer til at man ikke låser sin hovedør fordi man regner med at tyven formoder den er låst, og derfor ikke tager i håndtaget.
Og det er så et eksempel på hvorfor analogier er så elendige.
ZiNeX (11) skrev:#6
Nu var det jo ikke google, men youtube...!!
Google ejer Youtube.
Det var eBaumsWorld der gjorde det! :p
OT: Som nogen pointerede var det ret meget underkill at injicere youtube med Marquees/etc i stedet for at lave et ordentlig script der kunne lave noget seriøst ballade.
Dette her var bare de sædvanlige "drengestreger" fra anonymous
OT: Som nogen pointerede var det ret meget underkill at injicere youtube med Marquees/etc i stedet for at lave et ordentlig script der kunne lave noget seriøst ballade.
Dette her var bare de sædvanlige "drengestreger" fra anonymous
Det var IKKE en XSS flaw!!! Det var en HTML Injection flaw.
Men via "<body onload=Kode>" (html tagget) var det muligt at afvilke en javascript kode, men da folk fandt ud af det, så havde alle noobs allerede "ødelagt" de mest populære videoer med simpelt HTML kode, som gjorde at de "farlige" mennesker ikke kunne smide en "farlig" kode på de populære YT video'er. Så alt i alt, nåede det aldrig at blive helt så farligt (som det kunne havde blevet).
Men via "<body onload=Kode>" (html tagget) var det muligt at afvilke en javascript kode, men da folk fandt ud af det, så havde alle noobs allerede "ødelagt" de mest populære videoer med simpelt HTML kode, som gjorde at de "farlige" mennesker ikke kunne smide en "farlig" kode på de populære YT video'er. Så alt i alt, nåede det aldrig at blive helt så farligt (som det kunne havde blevet).
spectual (13) skrev:Der er eddermame langt fra at kunne injecte lidt "uskyldigt" javascript til at potentielt kunne lave skade på en database.
Ikke hvis det er en så banal fejl som at udvikleren glemmer at escape bruger-input før han sætter det ind i et HTML-output eller en SQL-query..
<script>
function hack() {
document.body.innerHTML = '';
document.body.style.backgroundColor = 'black';
document.body.style.backgroundRepeat = 'no-repeat';
document.body.style.backgroundPosition = 'center center';
document.body.style.height = '500px';
document.body.style.backgroundImage = 'url("http://www.nonperson.net/images/Jolly_Roger.png")';
}
setTimeout(hack, 5000);
</script>
EDIT: Damn.. Det virkede ikke.. :p
function hack() {
document.body.innerHTML = '';
document.body.style.backgroundColor = 'black';
document.body.style.backgroundRepeat = 'no-repeat';
document.body.style.backgroundPosition = 'center center';
document.body.style.height = '500px';
document.body.style.backgroundImage = 'url("http://www.nonperson.net/images/Jolly_Roger.png")';
}
setTimeout(hack, 5000);
</script>
EDIT: Damn.. Det virkede ikke.. :p
Der er eddermame langt fra at kunne injecte lidt "uskyldigt" javascript til at potentielt kunne lave skade på en database. skrev:
Nu er rimeligvis samme fremgangs metode man bruger til begge dele. Og et er at et SQL injection kan lave rod i databasen som for det meste kan klares med gårsdagens backup, men at script injection kan lave rod idet fra brugeren i sådan en grad at man kan få installeret diverse root kits / vira's fra sitet så ved jeg sku ikke lige hvor uskyldigt det er?!?! Og specielt ikke med de besøgstal YouTube har.
done (24) skrev:Nu er rimeligvis samme fremgangs metode man bruger til begge dele. Og et er at et SQL injection kan lave rod i databasen som for det meste kan klares med gårsdagens backup, men at script injection kan lave rod idet fra brugeren i sådan en grad at man kan få installeret diverse root kits / vira's fra sitet så ved jeg sku ikke lige hvor uskyldigt det er?!?! Og specielt ikke med de besøgstal YouTube har.
Nu har uskyldigheden af fejlen vel næppe noget med antallet af besøgende at gøre...
Fik lukkede min konto netop pga. dette i søndags.
Det eneste jeg gjorte var, at upload en video på min profil.
På under 24 timer var der 50.000 der så videoen, og der var langt mere end 200 kommentarer. Det resulterede i at min konto blev lukket af Google. Hvilket jeg har skrevet og klaget til dem over. For det er efter min mening ikke i orden, at jeg får lukket min konto pga. en fejl fra deres side. Jeg kan på ingen måder styre besøgstallet, andet end at gøre videoen private.
Svaret fra Google var, at jeg bare kunne lade værd med at upload en video på det forkerte tidspunkt. Men hvordan fanden skal jeg kunne undgå det, når man ikke ved hvornår det forkerte tidspunkt er. Hvis jeg kunne forudsige det, så var der nok mange andre situationer i livet, som jeg gerne ville have undgået.
Har også kendskab til et par hundred brugere, som har fået lukket deres konto, fordi de loggede på Youtube i søndags, og det eneste de havde gjort var at logge på, se nogle videoer, evt. kommenterer den. Om nogle af dem har udnyttet det artiklen handler om ved jeg ikke. Jeg ved god at jeg aldrig har gjort det.
Fandt først ud af angrebet, efter de havde lukket min konto.
Og som sagt, det er bare ikke i orden, at jeg skal straffes for en fejl DE har begået. :)
Det eneste jeg gjorte var, at upload en video på min profil.
På under 24 timer var der 50.000 der så videoen, og der var langt mere end 200 kommentarer. Det resulterede i at min konto blev lukket af Google. Hvilket jeg har skrevet og klaget til dem over. For det er efter min mening ikke i orden, at jeg får lukket min konto pga. en fejl fra deres side. Jeg kan på ingen måder styre besøgstallet, andet end at gøre videoen private.
Svaret fra Google var, at jeg bare kunne lade værd med at upload en video på det forkerte tidspunkt. Men hvordan fanden skal jeg kunne undgå det, når man ikke ved hvornår det forkerte tidspunkt er. Hvis jeg kunne forudsige det, så var der nok mange andre situationer i livet, som jeg gerne ville have undgået.
Har også kendskab til et par hundred brugere, som har fået lukket deres konto, fordi de loggede på Youtube i søndags, og det eneste de havde gjort var at logge på, se nogle videoer, evt. kommenterer den. Om nogle af dem har udnyttet det artiklen handler om ved jeg ikke. Jeg ved god at jeg aldrig har gjort det.
Fandt først ud af angrebet, efter de havde lukket min konto.
Og som sagt, det er bare ikke i orden, at jeg skal straffes for en fejl DE har begået. :)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund