5

XSS-Sunday

published on 2007|03|04

So, es ist mal wieder XSS-Sonntag und heute beschäftigen wir uns mit einem gänzlich unbekannten Portal: telefonbuch.de. Ein sehr praktischer Service für das Finden von Telefonnummern, wenn man so ein schlechtes Zahlengedächtnis hat wie ich oder schon immer mal im Seitenkontext von telefonbuch.de JavaScript ausführen wollte. Und das geht so (folgenden String in das Formularfeld »Name/Begriff oder Telefonnummer« einfügen):

';alert ("Manfred Krug" );test= '

Die komisch platzierten Leerzeichen werden benötigt, um den die Normalizer-Komponente ein wenig auszutricksen. Interessant auch, dass die Applikation selbst User-Input richtig handhabt, nicht aber das Werbetag, das hier exploitet wird.

Update 12. März 2007:
Hersteller hat Fehler behoben.

Tags: , , ,

Comments

Show comments linear or threaded

Alex opines:
published on 2007|03|04, 21:41h
*

Nicht wirklich etwas neues. Steht schon längere Zeit im deutschen Phishingmarkt.

Reply to this comment
Lars Strojny answers:
published on 2007|03|04, 23:13h
*

Aja, wo?

Reply to this comment
Alex answers:
published on 2007|03|08, 01:41h
*

Wie schon gesagt, ich weiß es wohl leider nicht mehr genau, woher ich es habe, aber in irgendeinem Blog stand es.

Reply to this comment
foo opines:
published on 2007|03|08, 11:58h
*

davon abgesehen kinderkacke, widmet euch lieber bugs in software, die ihr benutzt

Reply to this comment
Lars Strojny reckons:
published on 2007|03|08, 14:27h
*

Ich benutze ja telefonbuch.de regelmäßig, weil ich mir keine Zahlen merken kann.

Reply to this comment

Add comment


Textile-formatting allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications
Pavatar/Gravatar/Favatar/MyBlogLog author images supported.