Hackversuch? Oder was ists?

swatcher1 · 04.10.2007, 13:32

Hi allz,

im Bereich Homepages und Scripting habe ich leider keinerlei Ahnung und es interessiert mich auch nicht, daher wende ich mich mal an Euch und hoffe auf "Wissende"

Wir haben neuerdings in der Shoutbox unserer Clanpage einen Spammer der folgenden Code immer wieder eingibt:

"return counttext(this.value, this.form.charCount, this.form.charRemaining);"

Was genau mag dieser User versuchen? Gibt eine sicherheitbedenkliche Relevanz zu diesem Scriptversuch?

Google spuckt mir leider nichts aus... :-/

Danke im Voraus für mögliche Erklärungen!

greetz

tele · 04.10.2007, 14:11

Sieht wohl nach einem Versuch für XSS (cross site scripting) aus, da solltest du mal alle Möglichkeiten und Möglichkeiten der sicherung als Lektüre schlürfen.

Je nach ggf. benutztem CMS ist das ggf. ein Standardangriff, weil die Shoutbox vielleicht Java Script interpretiert.

Wie gesagt - mit XSS solltest du dazu Wissen finden wie das funktioniert.

Gruß

tele

**Exit** · 04.10.2007, 15:12

Der scheint das öfter zu machen!

PowerHitRadio erstellt mit PHPKIT

siehe unten rechts
Hausarzt-Linner info return counttext(this.value, this.form.charCount, this.form.charRemaining);

swatcher1 · 05.10.2007, 11:17

Tjo... haben jetzt erstmal alles in der Shoutbox deaktiviert, was nicht plane-text ist und das schreiben nur Usern (statt Gästen) erlaubt. Denke somit ists erstmal gegessen.

WAS GENAU er da versucht bleibt mir allerdings verborgen, trotz nachlesens ;(

greetz

tele · 05.10.2007, 12:38

er versucht einfach nur, ob es möglich ist Java Script in dieser Shoutbox zu nutzen indem aus diesem form die Zeichen gezählt werden und - wenn es aktiviert wäre - als Zahl zurückgegeben werden.

swatcher1 · 05.10.2007, 13:07

Hm... dann sollte es ja KEINE Sicherheitsrelevanz haben da nichts dergleichen aktiv ist.

Danke!

Was ich dann spannend finde:
Er hat bereits 3? 4? 5? Einträge mit GENAU diesem Text generiert, mit Abstand von jeweils 1 Tag.

Guckt er denn allen Ernstes täglich, ob wir nicht vielleicht doch Scripting aktiviert haben könnten, so ihm zu liebe oder was muss ich mir da vorstellen? xD *fg*

tele · 05.10.2007, 18:01

ich tippe mal auf eine Form eines automatischen Scriptes. Kann ja auch von unterschiedlichen Leuten (oder würmern) ausgelöst werden.

**Exit** · 09.10.2007, 15:21

Zitat:

Zitat von tele

er versucht einfach nur, ob es möglich ist Java Script in dieser Shoutbox zu nutzen indem aus diesem form die Zeichen gezählt werden und - wenn es aktiviert wäre - als Zahl zurückgegeben werden.

Kann es eigentlich nicht sein, denn er ruft eine Methode auf - welche so gar nicht in Javascript existiert! Diese müsste man vorher schon manuell schreiben - scheint aber nicht der Fall zu sein!

tele · 09.10.2007, 20:43

eine Methode die in dem Ziel-CMS existiert? Bekanntes Sicherheitsloch des CMS oder der Portalsoftware?

**Exit** · 09.10.2007, 21:59

hm möglich ist alles - aber ich habe dazu zumindest nix gefunden, dass so etwas defaultmässig in einem CMS implementiert ist - aber ich habe mir da auch nicht sonderlich viel Zeit für die Analyse genommen.

swatcher1 · 09.10.2007, 22:58

Nun, however: Solange nun mit den beschriebenen Maßnahmen nix mehr passieren kann gehts mir jedenfalls besser.

Danke an Euch 2.