Klick: http://maps.google.de/maps?sc=1&hl=de&output=html&saddr=düsseldorf&daddr=san+francisco&btnG=Suchen
...man beachte Punkt 33 !!!!
Gruß
xcvb
...man beachte Punkt 33 !!!!
Gruß
xcvb
von Düsseldorf nach San Francisco mit Google
- Ersteller xcvb
- Erstellt am
soul_rebel
ist immer auf der flucht
witzig
rudy
aint no stoppin us now
Anhänge
saintjoe
Bodybuilder
rudy
aint no stoppin us now
Hallo SaintJoe,
ein Blick auf Shot_2 beantwortet Deine Frage, es ist NoScript.....
mfg rudy
saintjoe
Bodybuilder
Naja,
was auch immer es ist, irgendwas spinnt da bei deinem Browser, bzw. NoScript. Ich tippe einfach mal darauf, dass das Programm zu blöde ist, mit Umlauten in der URL umzugehen.
Gruß...
Flo
soul_rebel
ist immer auf der flucht
tja auf meinem computer mit ohne unfreier software klappts... röchel...
Worauf rudy hinaus will, ist die Ausgabe nicht aus der Google Datenbank sondern über eine XSS Attacke in der URL eingeschleust wurde. Über solche Attacken werden Menschen die einem Link folgen manipulierte Inhalte untergejubelt.
Das kann natürlich nicht nur für solche Scherze sondern auch bösartig verwendet werden um den Nutzer dazu zu bringen personenbezogene Daten wie Passwörter preiszugeben.
Das kann natürlich nicht nur für solche Scherze sondern auch bösartig verwendet werden um den Nutzer dazu zu bringen personenbezogene Daten wie Passwörter preiszugeben.
soul_rebel
ist immer auf der flucht
habe ich jetzt nicht genau verstanden...
der link war bösartig verändert und die seite war eigentlich garnicht google-maps
der link war bösartig verändert und die seite war eigentlich garnicht google-maps
Ähm...nicht das hier etwas falsch verstanden wird, hier hat niemand irgendetwas gehackt um einen Witz zu erzeugen. Das "durch den Ozean schwimmen" ist eine echte Ausgabe von Google Maps, was auch schon länger bekannt und eigentlich auch nicht mehr sooo witzig ist. Ich denke das einzige Problem ist dieses NoScript-Plugin welches Rudy verwendet und scheinbar (ich kenne es nicht) JavaScript unterbindet bzw. nur für vertrauenswürdige Seiten zulässt. Da jedoch JavaScript bereits elementarer Bestandteil vieler Webseiten ist frage ich mich ob solch ein Plugin sinnvoll ist...naja für Paranoide vielleicht. 
Aber wahrscheinlich habe ich wieder was falsch verstanden.
Viele Grüße
Aber wahrscheinlich habe ich wieder was falsch verstanden.
Viele Grüße
rudy
aint no stoppin us now
Hallo Forum,
also wer sich für XSS und seine Möglichkeiten interesiert wird fündig unter wikipedia oder cgisecurity.com oder aber auch network-secure.de dann dort in der Suchmaske einfach XSS eintippen...
Bei XSS oder Cross Site Scripting handelt es sich um eine relativ neue Angriffstechnik mittlerweile gibt es diese in über 100 Varianten so ist es zum Beispiel auch möglich Sessioncookies zu stehlen..
Im Prinzip benötigt man nur einen Browser und etwas HTML und Scriptkenntnisse wie zBsp ASP-PHP-PERL etc..und das war es auch schon...
Aber falls Ihr mögt, leset einfach mal selbst unter den von mir angegebenen Seiten verlinken tue ich diese nicht...
XSS ist unter anderen derart erfolgreich weil diese Angriffstechnik unbegrenzt kombiniert werden kann mit zum Beispiel Stichwort SQL-Injection, CRLF-Injection, Authentication-Hacking, Directory-Traversal und das noch im Verbund mit Google-Hacking..
Die meisten dynamischen Seiten im www verwenden php, dementsprrechend gross sind auch die Angriffe, wieder falls Interesse besteht einfach mal die Seite von Network-Secure.de ansurfen und in der Suchmaske XSS eingeben...
Unter Punkt12. Jetzt erst recht: TOP 5 der meist benutzten Angriffe auf PHP
(Server/Webserver, PHP Schutz/Angriffstechniken)
Seit Juli 2004 sind weit mehr als 100 XSS Angriffstechniken erfasst worden. Die am häufigsten verwendeten Methoden sind nachfolgen...
könnt Ihr euch darüber informieren...
Das Dilemma von php (php.ini) ist zugleich der Erfolg von Cross Site Scripting
XSS nutzt konsequent die Schwachstellen in Webseiten aus und genau das macht sich ein Angreifer zu nutze.
Der Artikel vom 25.01.2007 auf heise.de security artikel 84149 bietet eine gute 5 seitige Einführung in die Materie
Auszüge:
Na sowas! Bei Pro7.de war es ausgerechnet die Funktion zur Erkennung ungültiger Aufrufe, die beliebigen Schadcode in die angezeigte Webseite einbettet.
und
Die Kollegen von Sat1.de überließen Angreifern das Layout der gefälschten Inhalte sogar ganz.
und
Bei der Hamburger Sparkasse konnte durch Cross Site Scripting statt des schwarzen Kastens ohne Weiteres auch ein gefälschtes Überweisungsformular oder unsichtbarer Schadcode stehen.
Weitere Angriffsmöglichkeiten wären:
Cross Site Tracing CST/XST
Header - Injection
Cross Site Request Forgery CSRF/XSRF
(Thu, 01 Mar 2007 18:38:36 +0100) Abgesehen von der Ähnlichkeit im Namen haben Cross-Site-Request Forgeries (CSRF) mit XSS kaum etwas gemeinsam. Während XSS auf das Vertrauen eines Benutzers/Browsers in eine Webseite setzt, knüpft CSRF an das Vertrauen an, das eine Webseite in Ihre Benutzer setzt; also genau anders herum. CSRF Angriffe sind weniger bekannt, gefährlicher und schwieriger abzuwehren als XSS-Angriffe.
Oder sogar sowas wir ja auch gemacht: Meldung von rss-nachrichten.de
(Mon, 24 Jul 2006 20:40:03 +0200) Es gibt es eine Reihe an Möglichkeiten durch Angriffe auf das Dateisystem Schaden anzurichten, insbesondere in Shared-Hosting-Umgebungen: Anzeige von Serverdaten (wie /etc/passwd, Konfigurationsdateien oder Logs) Angriffe auf Session-Daten (normalerweise in /tmp) Datei-Upload-Angriffe (z.b.bei unvalidiertem Avatar oder Dateiupload) Da viele Provider darüberhinaus PHP mit dem Benutzerkonto "nobody" beim Apache gestartet haben, können Angriffe auf das Dateisystem oftmals den gesamten Server und nicht nur eine einzelne Präsenz betreffen.
gruss rudy
also wer sich für XSS und seine Möglichkeiten interesiert wird fündig unter wikipedia oder cgisecurity.com oder aber auch network-secure.de dann dort in der Suchmaske einfach XSS eintippen...
Bei XSS oder Cross Site Scripting handelt es sich um eine relativ neue Angriffstechnik mittlerweile gibt es diese in über 100 Varianten so ist es zum Beispiel auch möglich Sessioncookies zu stehlen..
Im Prinzip benötigt man nur einen Browser und etwas HTML und Scriptkenntnisse wie zBsp ASP-PHP-PERL etc..und das war es auch schon...
Aber falls Ihr mögt, leset einfach mal selbst unter den von mir angegebenen Seiten verlinken tue ich diese nicht...
XSS ist unter anderen derart erfolgreich weil diese Angriffstechnik unbegrenzt kombiniert werden kann mit zum Beispiel Stichwort SQL-Injection, CRLF-Injection, Authentication-Hacking, Directory-Traversal und das noch im Verbund mit Google-Hacking..
Die meisten dynamischen Seiten im www verwenden php, dementsprrechend gross sind auch die Angriffe, wieder falls Interesse besteht einfach mal die Seite von Network-Secure.de ansurfen und in der Suchmaske XSS eingeben...
Unter Punkt12. Jetzt erst recht: TOP 5 der meist benutzten Angriffe auf PHP
(Server/Webserver, PHP Schutz/Angriffstechniken)
Seit Juli 2004 sind weit mehr als 100 XSS Angriffstechniken erfasst worden. Die am häufigsten verwendeten Methoden sind nachfolgen...
könnt Ihr euch darüber informieren...
Das Dilemma von php (php.ini) ist zugleich der Erfolg von Cross Site Scripting
XSS nutzt konsequent die Schwachstellen in Webseiten aus und genau das macht sich ein Angreifer zu nutze.
Der Artikel vom 25.01.2007 auf heise.de security artikel 84149 bietet eine gute 5 seitige Einführung in die Materie
Auszüge:
Na sowas! Bei Pro7.de war es ausgerechnet die Funktion zur Erkennung ungültiger Aufrufe, die beliebigen Schadcode in die angezeigte Webseite einbettet.
und
Die Kollegen von Sat1.de überließen Angreifern das Layout der gefälschten Inhalte sogar ganz.
und
Bei der Hamburger Sparkasse konnte durch Cross Site Scripting statt des schwarzen Kastens ohne Weiteres auch ein gefälschtes Überweisungsformular oder unsichtbarer Schadcode stehen.
Weitere Angriffsmöglichkeiten wären:
Cross Site Tracing CST/XST
Header - Injection
Cross Site Request Forgery CSRF/XSRF
(Thu, 01 Mar 2007 18:38:36 +0100) Abgesehen von der Ähnlichkeit im Namen haben Cross-Site-Request Forgeries (CSRF) mit XSS kaum etwas gemeinsam. Während XSS auf das Vertrauen eines Benutzers/Browsers in eine Webseite setzt, knüpft CSRF an das Vertrauen an, das eine Webseite in Ihre Benutzer setzt; also genau anders herum. CSRF Angriffe sind weniger bekannt, gefährlicher und schwieriger abzuwehren als XSS-Angriffe.
Oder sogar sowas wir ja auch gemacht: Meldung von rss-nachrichten.de
(Mon, 24 Jul 2006 20:40:03 +0200) Es gibt es eine Reihe an Möglichkeiten durch Angriffe auf das Dateisystem Schaden anzurichten, insbesondere in Shared-Hosting-Umgebungen: Anzeige von Serverdaten (wie /etc/passwd, Konfigurationsdateien oder Logs) Angriffe auf Session-Daten (normalerweise in /tmp) Datei-Upload-Angriffe (z.b.bei unvalidiertem Avatar oder Dateiupload) Da viele Provider darüberhinaus PHP mit dem Benutzerkonto "nobody" beim Apache gestartet haben, können Angriffe auf das Dateisystem oftmals den gesamten Server und nicht nur eine einzelne Präsenz betreffen.
gruss rudy
Zuletzt bearbeitet:
FreeBSDuser
Well-Known Member
jop, der neuste Script-Kiddie Muell.
Ja, xss ist gefährlich, aber bevor man hier irgendwelche Sachen in den Raum stellt die den Anschein erwecken irgendjemand würde hier eine xss-Attacke ins Forum stellen, hätte man auch ganz einfach manuell maps.google aufrufen können, Düsseldorf und San Francisco eingeben können und hätte dasselbe Ergebnis gehabt.
Sicherheitsbedenken sind gut, Paranoia vielleicht auch noch, aber Sicherheit kommt nicht nur aus irgendwelchen Firefox-Addons, sondern zuallererst aus Brain 1.0..
Sicherheitsbedenken sind gut, Paranoia vielleicht auch noch, aber Sicherheit kommt nicht nur aus irgendwelchen Firefox-Addons, sondern zuallererst aus Brain 1.0..