XSS-Sunday - /usr/portage βeta

XSS-Sunday 5

So, es ist mal wieder XSS-Sonntag und heute beschäftigen wir uns mit einem gänzlich unbekannten Portal: telefonbuch.de. Ein sehr praktischer Service für das Finden von Telefonnummern, wenn man so ein schlechtes Zahlengedächtnis hat wie ich oder schon immer mal im Seitenkontext von telefonbuch.de JavaScript ausführen wollte. Und das geht so (folgenden String in das Formularfeld »Name/Begriff oder Telefonnummer« einfügen):

';alert ("Manfred Krug" );test= '

Die komisch platzierten Leerzeichen werden benötigt, um den die Normalizer-Komponente ein wenig auszutricksen. Interessant auch, dass die Applikation selbst User-Input richtig handhabt, nicht aber das Werbetag, das hier exploitet wird.

Update 12. März 2007:
Hersteller hat Fehler behoben.

Filed under Security, telefonbuch.de, Telekom, Websecurity & five comments & no trackbacks

Trackbacks

Trackback specific URI for this entry

No Trackbacks

Comments

Alex says:
published on March 4^th 2007, 09:41:40 pm
Nicht wirklich etwas neues. Steht schon längere Zeit im deutschen Phishingmarkt.

Reply
Lars Strojny opines:
published on March 4^th 2007, 11:13:12 pm
Aja, wo?

Reply
Alex responses:
published on March 8^th 2007, 01:41:45 am
Wie schon gesagt, ich weiß es wohl leider nicht mehr genau, woher ich es habe, aber in irgendeinem Blog stand es.

Reply
foo opines:
published on March 8^th 2007, 11:58:12 am
davon abgesehen kinderkacke, widmet euch lieber bugs in software, die ihr benutzt

Reply
Lars Strojny replys:
published on March 8^th 2007, 02:27:07 pm
Ich benutze ja telefonbuch.de regelmäßig, weil ich mir keine Zahlen merken kann.

Reply

/usr/portage

XSS-Sunday 5

Trackbacks

Comments

Alex says:

Lars Strojny opines:

Alex responses:

foo opines:

Lars Strojny replys:

Add a Comment & let me know what you think