Breaking News!

Eigentlich wollte ich jetzt meine gschichtliche Ubuntu-Reihe fortsetzen, aber mich hat heute etwas anderes gefesselt.

Auf schueler.cc geht momentan eine Spam-Welle um, die Statusmeldungen wie
98% der leute können das nicht länger als 10 sekunden ->> loda4.info <<-!!
postet.

Mit einem Klick auf "Weiterlesen", stimmt ihr zu, dass ihr wusstet, dass dadurch Spam über euren Namen gepostet wird und ihr die komplette Haftung übernehmt!

Wer die Seite besucht, sieht nur ein Bild mit einem scheinbar unendlich lange ladendem Youtube-Video:

Bildschirmfoto

Währenddessen wird über einen iFrame wieder ein Status gepostet, der diese Webseite wieder verbreitet.
Dieser iFrame hat eine Größe von 0x0 px, ist somit für uns unsichtbar.

Öffnet man den puren iFrame, wird einem folgendes angezeigt:

iFrame

Zu sehen ist das Profilbild und der soeben gepostete Status.

Ich habe gleiches mal für meinen Blog vorbereitet und irgendwo hier in diesem Beitrag versteckt.
Na, findet ihr es, ohne in den Quellcode zu sehen?

Ruft man den Quellcode dieses iFrames ab, im biglol-Fall share.php, so sieht der Code sehr simpel aus:

Quellcode

Daran kann man sehen, dass eindeutig eine Sicherheitslücke vorhanden ist.

Also, liebes cc-Team: Behebt den Fehler bitte! Eine Mail habe ich euch schon geschrieben. Danke.

An dieser Stelle ein großes Dankeschön an Tblue/Tilman, der mir den iFrame-Code gegeben hat. :)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.