Lustiger N24.de Exploit
von makko, 06.05.2007, 14:40:18 Uhr
Ich weiss nicht ob es vielleicht schon jemand vor mir entdeckt haben mag, aber die N24.de Seite hat einen kleinen Fehler, mit dem sich zu jedem beliebigem Bild-PopUp (Die Bilder die zu den Artikeln vorhanden sind.) ein selbst verfasster Text schreiben lässt. Das ganze trägt dann die offizielle N24 Domain.
Dazu ein Bild, bei dem ich unter ein Auto den Text "Ich bin ein Auto" geschrieben habe.
Das ganze funktioniert denkbar einfach, denn der Text wird der Seite als GET Variable in der URL selbst übergeben. Man kopiert sich also die Adresse der Bild-PopUp Seite und fügt hinter "&caption=" seinen Wunschtext ein. Das ganze gibt man in die Adressleiste des Browsers ein und lädt diese Seite. Dadurch werden in der Adresse Zeichen, die eventuell Probleme machen, durch andere ersetzt. (z.B. Leerzeichen durch "%20").
Dazu hier der Link zu meinem Beispiel:
Link: N24.de Exploit - Auto Beispiel
Vielleicht hat ja der ein oder andere eine lustige Idee dies zur Unterhaltung auszunutzen, ich bin gespannt 
Kommentare lesen
Das Hinzufügen von Kommentaren ist deaktiviert!
XSS
von eSpy (unregistriert), 20.06.2007, 21:37:03 Uhr
[url=http://www.n24.de/img/popup_zoom.php?img=netzeitung/1.jpg&isimperia=false&ivwpath=/auto&caption=%3C/title%3E%3Ch1%3EThis%20Site%20is%20vulnerable%20to%20XSS%3C/h1%3E%3Ciframe%20width=100%%20height=800px%20src=www.n24.de%3E%3C!-]http://www.n24.de/img/popup_zoom.php?img=netzeitung/1.jpg&isimperia=false&ivwpath=/auto.....[/url]
Edit by makko, 20.06.2007, 22:52 Uhr: Link caption gekürzt
Nach oben
(kein Titel)
von eSpy (unregistriert), 20.06.2007, 21:36:03 Uhr
Nice....
Nach oben