XSS & session hijacking
Verfasst: 3. Feb 2005, 01:23
In bestimmten URL's in freewar ist es möglich Javascript-code zu injizieren, wodurch es Angreifern möglich wird, an fremde session-IDs zu gelangen und die accounts ohne kenntnis des Passworts zu übernehmen. lange rede, kurzer sinn:
hier kann man bspw. ein javascript unterbringen, welches ein externes CGI-script aufruft, das als parameter die session-ID (docum
ent.cookie) annimmt und abspeichert. (soweit hab ichs getestet, der rest ist theorie
) der angreifer braucht jetzt nur noch ins logfile gucken und den cookie in seinem browser anpassen und ist dann praktisch im fremden account.
Ein böswilliger user könnte zB eine webseite präparieren, die automatisch einen solchen link aufruft, und diese im chat verbreiten. Damit könnte er in kurzer Zeit die session-ids von ziemlich vielen Leuten ausspionieren und sich somit in fremden accounts aufhalten, sofern sich die leute nicht vorher ausloggen und die ID ungültig wird.
Code: Alles auswählen
http://217.79.181.154/freewar/internal/fight.php?action=watchuser&act_user_id="></a><script>[BELIEBIGES JAVASCRIPT]</script>ent.cookie) annimmt und abspeichert. (soweit hab ichs getestet, der rest ist theorie
) der angreifer braucht jetzt nur noch ins logfile gucken und den cookie in seinem browser anpassen und ist dann praktisch im fremden account.Ein böswilliger user könnte zB eine webseite präparieren, die automatisch einen solchen link aufruft, und diese im chat verbreiten. Damit könnte er in kurzer Zeit die session-ids von ziemlich vielen Leuten ausspionieren und sich somit in fremden accounts aufhalten, sofern sich die leute nicht vorher ausloggen und die ID ungültig wird.
