/usr/portage

XSS-Sunday 5

So, es ist mal wieder XSS-Sonntag und heute beschäftigen wir uns mit einem gänzlich unbekannten Portal: telefonbuch.de. Ein sehr praktischer Service für das Finden von Telefonnummern, wenn man so ein schlechtes Zahlengedächtnis hat wie ich oder schon immer mal im Seitenkontext von telefonbuch.de JavaScript ausführen wollte. Und das geht so (folgenden String in das Formularfeld »Name/Begriff oder Telefonnummer« einfügen):

';alert ("Manfred Krug" );test= '

Die komisch platzierten Leerzeichen werden benötigt, um den die Normalizer-Komponente ein wenig auszutricksen. Interessant auch, dass die Applikation selbst User-Input richtig handhabt, nicht aber das Werbetag, das hier exploitet wird.

Update 12. März 2007:
Hersteller hat Fehler behoben.

Filed on 04-03-2007, 19:07 under , , , & five comments & no trackbacks

Trackbacks

Trackback specific URI for this entry

No Trackbacks

Comments

  1. Alex replys:
    published on March 4th 2007, 09:41:40 pm *

    Reply

  2. Lars Strojny returns:
    published on March 4th 2007, 11:13:12 pm *

    Reply

  3. Alex replys:
    published on March 8th 2007, 01:41:45 am *

    Reply

  4. foo answers:
    published on March 8th 2007, 11:58:12 am *

    Reply

  5. Lars Strojny returns:
    published on March 8th 2007, 02:27:07 pm *

    Reply

Add a Comment & let me know what you think