/usr/portage

XSS-Sunday 5

So, es ist mal wieder XSS-Sonntag und heute beschäftigen wir uns mit einem gänzlich unbekannten Portal: telefonbuch.de. Ein sehr praktischer Service für das Finden von Telefonnummern, wenn man so ein schlechtes Zahlengedächtnis hat wie ich oder schon immer mal im Seitenkontext von telefonbuch.de JavaScript ausführen wollte. Und das geht so (folgenden String in das Formularfeld »Name/Begriff oder Telefonnummer« einfügen):

';alert ("Manfred Krug" );test= '

Die komisch platzierten Leerzeichen werden benötigt, um den die Normalizer-Komponente ein wenig auszutricksen. Interessant auch, dass die Applikation selbst User-Input richtig handhabt, nicht aber das Werbetag, das hier exploitet wird.

Update 12. März 2007:
Hersteller hat Fehler behoben.

Filed on 04-03-2007, 19:07 under , , , & five comments & no trackbacks

Trackbacks

Trackback specific URI for this entry

No Trackbacks

Comments

  1. Alex says:
    published on March 4th 2007, 09:41:40 pm *

    Nicht wirklich etwas neues. Steht schon längere Zeit im deutschen Phishingmarkt.

    Reply

  2. Lars Strojny opines:
    published on March 4th 2007, 11:13:12 pm *

    Aja, wo?

    Reply

  3. Alex responses:
    published on March 8th 2007, 01:41:45 am *

    Wie schon gesagt, ich weiß es wohl leider nicht mehr genau, woher ich es habe, aber in irgendeinem Blog stand es.

    Reply

  4. foo opines:
    published on March 8th 2007, 11:58:12 am *

    davon abgesehen kinderkacke, widmet euch lieber bugs in software, die ihr benutzt

    Reply

  5. Lars Strojny replys:
    published on March 8th 2007, 02:27:07 pm *

    Ich benutze ja telefonbuch.de regelmäßig, weil ich mir keine Zahlen merken kann.

    Reply

Add a Comment & let me know what you think