hallo zusammen, es geht um das Verständnis wegen XSS. Sobald ein Angeifer eine XXS Schwachstelle ausnützt wird html Code übermittelt. Soweit ist es mir klar. Klar ist auch, dass ein User vorgegauelt wird, das Password einzugeben. Das Password wird dann in falsche Hände gespielt. Mir ist aber unklar, wie durch XXS eine Webseite gahackt wird oder verstehe ich was falsch.
XSS und der Verständnis...
Anmeldungsdatum: Beiträge: 224 |
|
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 8628 Wohnort: Münster |
Lese Cross-Site-Scripting. Solange Du nicht beschreibst, was Du ggf. falsch verstanden hast, kann Dir niemand erklären, was daran falsch sein könnte. Stelle bitte konkrete Fragen! Anleitungen zum Hacken von Webseiten wirst Du aber hier nicht erhalten. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 224 |
hallo, danke für deine Antwort. Nein, ich will keine Anleitung zum hacken haben. Mir geht es zu dem Begriff XSS. Ich will NUR wissen, ob der folgende Satz stimmt oder nicht. - Mit hilfe von XSS kann ich einen Ahnungsloser User einen Link schicken, z.b. Forum-balbla.de Forum-balbla hat eine XSS Lücke. Der Link enthält ein Java Script, der ein Login Feld generiert. - Mehr kann XSS nicht. Wenn ein User mit XSS in eine Webseite eingebrochen ist, dann hat er maximal das Password von einen Ahungsloser User kopiert. Ich will XSS NUR richtig zuordnen. |
Anmeldungsdatum: Beiträge: 11181 Wohnort: München |
Das ist eine Untertreibung - schau dir z.B. mal DEF CON 25 Packet Hacking Village - Brute Logic - XSS For the win an, da gibt es einige Beispiele, was man damit alles anstellen kann. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 224 |
ok, danke für den link. Wenn ich das richtig verstanden habe, kann ich nicht nur html einschmuggeln, sondern auch ewtl php Code. Weil dann sieht die Geschichte ganz anders aus. Stimmt das wirklich so, ich gehe nicht tiefer daruf ein. |
Anmeldungsdatum: Beiträge: 11181 Wohnort: München |
Der PHP-Code des Servers ist bei Serverseitigem XSS relevant - wenn der schlecht gemacht ist, kann der Angreifer eigenes JS oder HTML in die Seitendarstellung schmuggeln - ein Beispiel gibt es z.B. hier: https://www.php-einfach.de/experte/php-sicherheit/cross-site-scripting-xss-in-php/ PHP Code ausführen klappt nur, wenn z.B. im PHP-Code eval genutzt wird, um von Clients übergebene Strings zu evaluieren - daher auch die dicke Warnung in der Dokumentation das nicht auf von Nutzern übergebene Daten loszulassen. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 224 |
Danke, eure Kommentare und links sind mehr wert wie irgend welche teuere Bücher. |