XSS & session hijacking

[fireburn]

In bestimmten URL's in freewar ist es möglich Javascript-code zu injizieren, wodurch es Angreifern möglich wird, an fremde session-IDs zu gelangen und die accounts ohne kenntnis des Passworts zu übernehmen. lange rede, kurzer sinn:

Code: Alles auswählen

http://217.79.181.154/freewar/internal/fight.php?action=watchuser&act_user_id="></a><script>[BELIEBIGES JAVASCRIPT]</script>

hier kann man bspw. ein javascript unterbringen, welches ein externes CGI-script aufruft, das als parameter die session-ID (docum
ent.cookie) annimmt und abspeichert. (soweit hab ichs getestet, der rest ist theorie ) der angreifer braucht jetzt nur noch ins logfile gucken und den cookie in seinem browser anpassen und ist dann praktisch im fremden account.

Ein böswilliger user könnte zB eine webseite präparieren, die automatisch einen solchen link aufruft, und diese im chat verbreiten. Damit könnte er in kurzer Zeit die session-ids von ziemlich vielen Leuten ausspionieren und sich somit in fremden accounts aufhalten, sofern sich die leute nicht vorher ausloggen und die ID ungültig wird.

[Kai aus der Kiste]

schreibt sowas doch nich ins forum falls einer damit was anfangen kann probierters aus schreibs direkt an sotrax

[Sotrax]

wurde korrigiert. Solche Bugs bitte per Support System melden, damit sie nicht jeder lesen kann, da hat Kai schon recht