XSS lekje in Hotmail
De Nederlander Alex de Vries, ook bekend als "Eierkoek", ontdekte een cross-site scripting lek op msn.com waardoor het mogelijk is Javascript te laten uitvoeren. Een kwaadwillende kan van dit lek gebruik maken om cookies te stelen van MSN abonnees om bijvoorbeeld toegang te krijgen tot Hotmail accounts. Hiervoor is het dan wel nodig dat het slachtoffer eerst op een link klinkt die door de aanvaller is verstuurd. Een "proof of concept" van het XSS probleem is te vinden door op deze link te klikken.
Alex zegt Microsoft op de hoogte te hebben gebracht, maar geeft niet aan hoe lang geleden dit is gebeurd. Zijn motivatie voor het nu al bekend maken van het probleem is dat Microsoft nu gedwongen wordt om snel het gat te dichten, zo laat hij op deze pagina weten.
In this document I explain how to exploit a security hole I found in
http://www.hotmail.com/. This is not fiction, but a real story and still works as
of today (2005-06-04). With this exploit you can access other people's
mailboxes, view their contacts and much more. All that needs to be done is
send this user an e-mail with a link/url to an internet-page you created.
When this user clicks on this url, his inbox is all yours.
I've tried to explain the situation as simple as possible, so that anyone can
understand it.
info hijack vanaf security.nl
De eer komt toe aan security.nl, niet mr. A. de Vries. (eitje;P)
Zou hij het ook bekend hebben gemaakt als het een linux
foutje was?
Natuurlijk niet, je weet hoe geheimzinnig die open
source-mensen altijd zijn over fouten in hun software.
Zou hij het ook bekend hebben gemaakt als het een linux
foutje was?
tuurlijk wel, maar windows is nou eenmaal zo lek als een mandje
Zou hij het ook bekend hebben gemaakt als het een linux
foutje was?
tuurlijk wel, maar windows is nou eenmaal zo lek als een
mandje
Wat heeft dit nu weer te maken met linux of windows???
Het geeft wel weer aan hoe hoef het niveau hier is!
Een CSS lek zit een een website en niet in een OS
zo gek bent op windows!
eens volwassen! Het gaat echt nergens over met dat eindeloze
Linux-Windows geblaat.
Het onderwerp is XSS!!!
Linux, nee Windows, nee Linux, nee Windows. Kinders wordt
eens volwassen! Het gaat echt nergens over met dat eindeloze
Linux-Windows geblaat.
Het onderwerp is XSS!!!
Jah da snapt hier volgens mijn niemand
De eer komt toe aan security.nl, niet mr. A. de Vries.
(eitje;P)
Van 13/11/02:
http://packetstormsecurity.org/0211-exploits/XSS-Cookie-Advisory.txt
http://www.hackers4hackers.nl/reader.php?h4h=12&page=05
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
