| |
 |
| Einschleusen von Schadroutinen per data:-URL |
|
|
Veröffentlicht durch XTaran am Freitag 14. Januar 2005, 13:42
Aus der nette-Protokolle Abteilung
|
|
|
|
|
Ein Artikel auf HeiSec hat mich gerade auf ein zumindest in Firefox, Mozilla (nur neuere Versionen, der 1.4.2er aus SuSE 9.0 tut jedenfalls nicht) Safari (damit vermutlich auch Konqueror) und Opera implementiertes URL-Schema aufmerksam gemacht, welches wohl lange Zeit ein sehr ruhiges Dasein führte: Das URL-Protokoll "data:" (RFC 2397) erlaubt das direkte Einbinden kleiner Bilder und anderer kleiner, üblicherweise externer Webseiten-Fragemente. HeiSec berichtet nun, daß Darren Bounds von Intrusense herausgefunden hat, daß trotz der Warnung in Abschnitt 6 dieses RFCs von 1998 (!) die meisten der getesteten Firewalls und Filter-Proxies auf diese Weise eingebettete, maliziöse JPEG-Bilder nicht erkennt und zum Browser durchläßt.
|
|
|
|
|
|
|
Sicher kann man damit auch sehr schön elegant JavaScript oder Ähnliches einschleusen. Allerdings, und das kann man ausnahmsweise mal als "Vorteil" sehen, nicht mit dem MSIE, denn dieser
unterstützt RFC 2397 nicht...
|
|
|
|
< Dillo 0.8.4 erschienen | Druckausgabe | Google bekommt Patent auf Hervorhebung von Suchbegriffen > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
Von Anonymer Feigling am Friday 14. January 2005, 14:56 MEW (#1)
|
|
|
|
|
ich hatte immer gedacht die seien fehlerfrei? dank AI werden bei uns keine Server gepacht (Patchen ist definitiv was für Feiglinge) und jetzt das...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Und nochmal: Es gibt garnicht so viele Modpunkte wie oft ich dich runtermodden möchte..
--
Hurra, das ist die Realpräsenz!
|
|
|
|
|
|
|
|
|
|
|
|
|
also ich hätte den jetzt als funny bewertet, wenn ich grad könnte.
ihr seid alles kranke kinder --- www.zooomclan.org
|
|
|
|
|
|
|
