Heute will ich mal eine ganz besondere Art von Cross-Site-Scripting vorstellen, das “Cross-Site Authentication”.
Mit dieser Technik wäre bzw. ist es relativ leicht, Usern die Zugangsdaten zu entlocken.
Dazu muss einer Seite einfach ein manipuliertes Bilder untergeschoben werden. Dazu reicht schon in einem Forum ein simpler img-tag.
Beispiel -> ACHTUNG, BENUTZT HIER KEINE REALEN ZUGANGSDATEN.
Na, was ist denn gerade passiert? Genau, ihr solltet eine Username/Passwortabfrage bekommen haben.
Erzeugt wurde dieses offensichtlich durch dieses Bild.
Nun schaut euch mal das an: http://muellerlukas.bplaced.net/xsa/EINGEGEBENER_USERNAME.txtFällt euch was auf? Genau, das sind die Userdaten, die ihr gerade hier eingetragen habt.
Der Code dazu ist eigentlich ganz simpel.
Allerdings darf PHP dazu nicht im CGI-Modus laufen. (Womit auch die Frage von Markus, wofür ich denn einen Webspace brauche, auf dem PHP nicht als CGI läuft geklär wäre: Ohne diesen hätte ich die Demo nicht vorbereiten können.)
Link zum Quelltext
Nun könnte man “Beliebiger Forenname” noch gegen etwas wie “SERVER ERROR. PLEASE LOG IN AGAIN” austauschen.
Dann reicht es einfach, das Script irgendwo hochzuladen und es z.B. in einem großen Forum als [img]-tag in die Signatur zu hängen.
So würde man bestimmt an einige Userdaten rankommen.
Als Abhilfe gibt es im Moment eigentlich nur, indem man img-tags verbietet oder das angegebene Image herunterladen und vom eigenen Server aus anzeigen.
Betroffen von diesem Problem sind eigentlich alle Systeme, die z.B. img-Tags oder persönliche Avatare erlauben.
Grüße und einen schönen Abend noch
MuellerLukas aka Lukas Müller
