Kurze Einführung in XSS

XSS bedeutet Cross-Site-Scripting.

Dabei wird versucht "bösartigen Code" in den gutartigen einzubinden/einzuschleusen.
Warum? Z.B. wird in einem genannten Cookie die gespeicherten (Login-)Werte immer in Verbindung mit einer URL gespeichert. Nur Programmcode auf dieser URL/Webspace darf die Cookie-Informationen auslesen.
Und so sieht ein Cookie aus:

www.test.net member_id 950
www.test.net pass_hash 5552aee0d7fc4d58c2de531f1bea14a2

Keine Angst, das sind fiktive Werte.
Wie kann man aber jetzt den Code einschmuggeln?
Man müsste eine Datei hochladen können...oder vielleicht
ein Bild? Ein JPG-Bild(mit GIF-METADATEN!)
Das JPG-Bild öffnet man mit einem Hex-Editor.

Die EXIF-Metadaten müssen so präpariert werden dass
das Bild nicht zu groß ist. Am besten 1x1 Pixel.
Anschließend löscht man die Bildinfos und schreibt den
Code hinein. Im speziellen einen Java-Code der das
Cookie der URL ausliest und es an ein externes Script
übergibt wo es dann gespeichert wird.

Nun lädt man das Bild (über die Avatar-Funktion) hoch und
schreibt dem Admin eine PN, der Ava würde nicht gehen
und einen Link zum Avatar.
Der ungeschulte Admin weiß nicht das sich in dem Bild
böser Code befindet weil er denkt das Bild liegt auf dem
Webspace(Anhand des Links).


Wenn jetzt der ungeschulte Admin diesen Link klickt hat er
seinen pass_hash verraten.
Nun lege ich diesen pass_hash in mein Cookie und ändere
die Userid(die man bequem über die Memberliste
herausbekommt) auf die des Admins ab.

Nun betrete ich die Website/Forum und bin automatisch
als Admin eingeloggt. Ziemlich umständlich wenn man
schnell zwischen User hin und her wechseln will. Man kann
den pass_hash mit Crack-Programmen entschlüsseln.
Je kürzer und weniger Sonderzeichen das Passwort
enthält umso schneller geht das.
Unser ungeschulter Admin hatte in dem Fall ein 4stelliges
Passwort mit nur Kleinbuchstaben. Das lässt sich in 42
ms entschlüsseln.
Zum Vergleich:
Für ein 7-stelliges mit Groß- und Kleinbuchstaben sowie
Zahlen können schon mal Tage draufgehen und ab 8
Ziffern dauert es richtig lange (mehr als 1 Monat).

Gegenmaßnahmen sind:

Avatarupload verbieten
Keine Links anklicken wenn man eingeloggt (und somit das Cookie gesetzt) ist.
Lange Passwörter verwenden z.B. K4mpfm4g13r
(Kampfmagier und Buchstaben durch Zahlen ersetzt.
Dieses Passwort lässt sich auf einem Home-PC mit
mehreren Jahrzehnten Rechenzeit nicht knacken)
„Gesaltene“ Passwörter verwenden
Die Forensoftware so Umprogramiern das ein
Referenzwert in der Datenbank und Cookie gespeichert
wird und nur beim gleichen Ergebniss wird man
eingeloggt.
HTML im Forum verbieten

Sofortmaßnahmen:
Passwort ändern
Admin-Team informieren
Das Bild(mit dem Hexeditor) öffnen und nachschaun wohin das Cookie gespeichert wurde. Oft haben diese Cookiecatcher keinen Sicherheitsmechanismus sodass man auch als Gast gespeicherte Datensätze löschen kann.

Was bringt nichts:

Gif-Bilder verbieten

__________________
kkb 4 Co-Admin
R.I.P.

Dieser Beitrag wurde von Räuber Hotzenplotz am 18.07.2006, 19:54 Uhr editiert.

...und was willst du uns damit sagen?

__________________

*

__________________
kkb 4 Co-Admin
R.I.P.

Dieser Beitrag wurde von Räuber Hotzenplotz am 24.07.2006, 19:01 Uhr editiert.

*

__________________
kkb 4 Co-Admin
R.I.P.

Dieser Beitrag wurde von Räuber Hotzenplotz am 24.07.2006, 19:01 Uhr editiert.

Gut das die betreffende Person inzwischen ihr Passwort geändert hat. Ich hoffe das das Ereignis teamintern besprochen wird.

Servus

__________________
kkb 4 Co-Admin
R.I.P.