rudy
aint no stoppin us now
Hallo @all,
das CSRF Cross-Site-Request-Forgery zu den mittlerweile TopTen gehört veranschaulicht zum Beispiel diese Meldung auf Security Focus:
> http://www.securityfocus.com/archive/1/485978/30/30/threaded
Bevorzugt das kann man festhalten funktioniert das ganze über IFrame's auf Webseiten, hier bettet man seinen JavaScriptCode ein.
Es gibt auch die Möglichkeit Exploits über das IFrame zu starten und es den harmlosen Benutzer per "Drive by Load" > "OneClick" unterzujubeln oder Webseiten lahmzulegen
> http://derstandard.at/?id=2924519
Das Tool MPack > http://isc.sans.org/diary.html?storyid=3015 /* Kurzbeschreibung */
installiert Schadcode im Browser (" all Systems ") und nimmt Kontakt zu seinem Master Server auf und zwar nicht sofort sondern surft erstmal ne Zeit still und heimlich mit.
Dann zieht es das passende Exploit den passenden Payload und den Shellcode vom Master runter und installiert es hier spricht man von einem
" Man in the Browser " Angriff.
Das ganze funktioniert in Kombination verschiedenster Techniken mit den Browsern btw ist auch eine Grundvoraussetzung.
Das geht im Opera> Konqueror> Mozilla etc.pp
Man sollte deshalb IFrame Darstellung im Browser untersagen
das CSRF Cross-Site-Request-Forgery zu den mittlerweile TopTen gehört veranschaulicht zum Beispiel diese Meldung auf Security Focus:
> http://www.securityfocus.com/archive/1/485978/30/30/threaded
Bevorzugt das kann man festhalten funktioniert das ganze über IFrame's auf Webseiten, hier bettet man seinen JavaScriptCode ein.
Es gibt auch die Möglichkeit Exploits über das IFrame zu starten und es den harmlosen Benutzer per "Drive by Load" > "OneClick" unterzujubeln oder Webseiten lahmzulegen
> http://derstandard.at/?id=2924519
Das Tool MPack > http://isc.sans.org/diary.html?storyid=3015 /* Kurzbeschreibung */
installiert Schadcode im Browser (" all Systems ") und nimmt Kontakt zu seinem Master Server auf und zwar nicht sofort sondern surft erstmal ne Zeit still und heimlich mit.
Dann zieht es das passende Exploit den passenden Payload und den Shellcode vom Master runter und installiert es hier spricht man von einem
" Man in the Browser " Angriff.
Das ganze funktioniert in Kombination verschiedenster Techniken mit den Browsern btw ist auch eine Grundvoraussetzung.
Das geht im Opera> Konqueror> Mozilla etc.pp
Man sollte deshalb IFrame Darstellung im Browser untersagen
Zuletzt bearbeitet:
aber wieder ein Beleg für meine Ablehnung gegenüber Flash 