Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Internet » Cross-site scripting brengt Hotmail-gebruikers in gevaar

Cross-site scripting brengt Hotmail-gebruikers in gevaar

Door Harm Hilvers, dinsdag 7 juni 2005 11:14
Bron: C|Net, submitter: iyanic, views: 26.097

Microsoft heeft afgelopen weekend een gedeelte van zijn MSN-website offline gehaald nadat het bedrijf vernomen had dat het mogelijk was om via een omweg toegang te verkrijgen tot Hotmail-accounts. De website http://ilovemessenger.msn.com/ bevatte een zogenaamde 'cross-site scripting'-lek, aldus een woordvoerder van het bedrijf maandag. Via dit lek was het mogelijk om de beschikking te krijgen over cookies van andere gebruikers door hen ertoe te bewegen naar een bepaalde webpagina te surfen. Met behulp van deze cookies was het vervolgens mogelijk om toegang te krijgen tot de e-mailaccounts van andere gebruikers.

Het lek in MSN's site was afgelopen vrijdag bekendgemaakt door Alex de Vries op de Nederlandse site Net-Force. Het vinden van het lek kostte De Vries anderhalf uur, aanzienlijk langer dan het vinden van vergelijkbare lekken op enkele andere sites. Nadat Microsoft van het lek op de hoogte was gesteld, is de 'I Love Messenger'-site offline gehaald. Deze zal weer online komen als het lek is opgelost, zo heeft MSN in een reactie laten weten. Enkele weken geleden had Microsoft te maken met hackers die via scripts op de Zuid-Koreaanse MSN-site probeerden de hand te leggen op wachtwoorden van het online spel Lineage.

Volgende 15:04 Siemens verkoopt mobiele-telefoondivisie aan BenQ
Vorige 11:10 Debian Sarge officieel uitgebracht
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 45 reacties zichtbaar450 Off-topic / Irrelevant: 42 reacties zichtbaar42+1 On-topic: 35 reacties zichtbaar35+2 Informatief: 17 reacties zichtbaar17+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door PowerSp00n, dinsdag 7 juni 2005 11:53

Score: 1
Updates:

June 5
Looks like MSN changed the exploitable page, so this exploit is not there anymore. But there is at least one other place known in MSN.com, where the same bug is still present.
Denk je er nu nog net zo over?

Door mae-t.net, dinsdag 7 juni 2005 11:27

Score: 2
Als software developer(?) zou ik in jouw geval toch voorzichtiger zijn met dit soort uitspraken. Laat je het nog even weten als iemand een voor jou niet voordehandliggende (anders had ie er niet ingezeten heh) bug in jouw werk aantreft?

Door _Thanatos_, dinsdag 7 juni 2005 12:21

Score: 0
Deels heeft ie wel gelijk. In veel MS-software zitten bugs die zó opvallen, dat ze het gewoon echt niet getest kunnen hebben. En dan heb ik het niet eens over IE en aanhangsels.

Door catfish, dinsdag 7 juni 2005 13:19

Score: 1
laat de MS dan ook maar weg, Adobe en andere groten hebben hier ook last van ...

Door Mizitras, dinsdag 7 juni 2005 15:43

Score: 1
Ga een cursus Nederlands volgen, en leer ook eens een informatieve post te plaatsen, of kritiek met een degelijk argument te posten.

Door frickY, dinsdag 7 juni 2005 11:26

Score: 2
Dit lijkt me puur een kwestie van laks programmeren.
Cookies kun je zetten per domein-naam. Als je bij het maken van een cookie aangeeft dat het cookie voor www.hotmail.com is, zal de browser het cookie alleen meesturen bij het ophalen van de pagina, als je op www.hotmail.com zit.
Als de domain-path is ingesteld op msn.com, wordt hij ook meegestuurd als je surft naar ikwiljecookie.msn.com

Of zou het lek iets ingewikkelder zijn? :)

Door aCCuReRaS, dinsdag 7 juni 2005 11:28

Score: 2
Je vergeet dat Hotmail met Passport authenticatie werkt.
Dus een cookie vaszetten op hotmail.com zou totaal zinloos zijn.

Door MoBi, dinsdag 7 juni 2005 11:28

Score: 2
Helaas wel. Hotmail draait namelijk niet op 1 servertje. Er moet dus vanaf verschillende adressen het cookie gelezen worden.

Door PowerSp00n, dinsdag 7 juni 2005 11:29

Score: 2
Ja, want daar komt cross-site scripting nou juist om de hoek kijken :). Dan kan een andere gebruiker code laten uitvoeren (dat bijvoorbeeld in de url meegegeven is) in jouw browser op de site waar het nou eigenlijk om gaat. Waardoor een andere gebruiker dus toegang krijgt tot je cookies van die site :p. Ok beetje brak uitgelegt maar het klopt wel ongeveer :+.

Door frickY, dinsdag 7 juni 2005 11:53

Score: 2
Inderdaad ja.
Dat probleem zie je vooral bij sites waarbij bepaalde content wordt meegegeven via de URL, meestal een kopje van een pagina.

Overigens wordt je sessie, ook bij Hotmail, een je gekoppeld door middel van een cookie.
Beetje raar overigens dat deze zo simpel te "hijacken" is. Maar een sessievar aan waarin je het IP-adres van de ingelogde persoon opslaat, en vergelijk die met het sessie ID welke je via het cookie binnen krigjt. Maar ja, dat ben ik :)

Door Woy, dinsdag 7 juni 2005 12:50

Score: 2
En wat dan met mensen die gebruik maken van een proxy server? Niemand garandeerd dat al je requests van hetzelfde IP adres afkomstig zijn.

Door frickY, dinsdag 7 juni 2005 13:17

Score: 1
Maak je een goed punt.
Dan pak je de volledige browsernaam, het IP-range, of een combinatie :)

Door Sagi, dinsdag 7 juni 2005 19:19

Score: 1
Ook dat hoeft niet per definitie te werken, er zijn immers ook proxy's die de browser signature aanpassen.

Het gebruik van cookies is naast het gebruik query-string-munging eigenlijk een van de weinige manieren om vast te stellen dat je met dezelfde gebruiker te maken hebt.

Door alt-92, dinsdag 7 juni 2005 11:37

Score: 1
Of zou het lek iets ingewikkelder zijn?

Blijkbaar wel:

Het lek in MSN's site was afgelopen vrijdag bekendgemaakt door Alex de Vries op de Nederlandse site Net-Force. Het vinden van het lek koste De Vries anderhalf uur, aanzienlijk langer dan het vinden vergelijkbare lekken op enkele andere sites.

Door interaddict, dinsdag 7 juni 2005 13:13

Score: 2
Crossside scripting heeft niks met cookies te maken, maar met de mogelijkheid tot het uitvoeren van code(javascript) op het domein van een ander.
Een gevolg daarvan is idd dat je daarmee de cookie van een ander op kan vragen..

In een img tag, kun je al code uitvoeren als het niet is afgevangen:

<img src="javascript:alert('test')">

Door frickY, dinsdag 7 juni 2005 13:17

Score: 1
Cross-site scripting heeft vaak tot doel het bemachtigen van een cookie. Dus ze hebben zeker wel met elkaar te maken.

Door mosymuis, dinsdag 7 juni 2005 13:41

Score: 2
Javascript: binnen <img> tags werkt niet in de Mozilla en Opera browsers. Daarnaast is je definitie van XSS iets te smal; ook HTML injectie wordt eronder gerekend. Denk daarbij aan het bijplaatsen van reclamebanners, etc.

//edit: dit was een reactie op interaddict

Door bamboe, dinsdag 7 juni 2005 21:18

Score: 0
>>>Dit lijkt me puur een kwestie van laks programmeren.

misschien,wat mij opvalt is dat je de nieuwe messenger niet eens meer kan afsluiten als je explorer of outlook nog open hebt staan,.... sorrie maar dan ga ik me ook dingen afvragen...

Beats me if there is a use for that....

Door Iblies, dinsdag 7 juni 2005 11:45

Score: 2
Wat ik me afvraag is of MS mr Alex de Vries bedankt heeft voor de gewezen lek,
al dan niet in een vorm van een bloemetje, game uitkiezen, misschien xbox, deze kost bijna niks meer.
Het is toch een fout die serieuze gevolgen kon hebben, en deze meneer heeft het netjes opgelost.

Door BertS, dinsdag 7 juni 2005 11:53

Score: 0
En wat ik me afvraag is waarom mr Alex de Vries het lek heeft bekendgemaakt op Net-Force ipv bij Microsoft.

Door unknownjim, dinsdag 7 juni 2005 11:55

Score: 2
Hij heeft ze gemailt en tijd gegeven.. lees et artikel dan ook

Door Zarc.oh, dinsdag 7 juni 2005 13:49

Score: 2
Ik heb enige tijd geleden een JavaScript insertion lek gevonden in Hotmail. Heb het destijds ook aan MS doorgegeven. Krijg ik nou ook een eigen FP bericht? :Z of een bloemetje, of game misschien xbox, want die kosten bijna niks meer :Z

Door twabi2, dinsdag 7 juni 2005 19:33

Score: 2
Geld kan ik je niet geven, maar wel eeuwig respect dat je dit netjes hebt afgehandel :)
Mooi gevonden trouwens

Door Zarc.oh, dinsdag 7 juni 2005 21:36

Score: 1
Dank u!!!
Ach ik wil graag zelf aan de slag in de beveiliging. Ik geef geen ruchtbaarheid aan de gaten die ik vind, maar documenteer ze op m'n eigen site en geef het door aan de maker van de website / software. Zo bouw ik een beetje m'n eigen CV op.

Door rtgo, dinsdag 7 juni 2005 11:54

Score: 1
Best interessant eigenlijk. Klokkenluiders worden over het algemeen niet zo goed behandeld maar wellicht gaat microsoft sympathieker met mensen om dan de anderen.
Veel bedrijven huren mensen van buitenaf in om lekken te vinden. Als je daar goed in bent kun je daar een leuke boterham mee verdienen. Dan hoef je het niet meer voor een Xbox te doen.

edit: dit was een reactie op lblies

Door xxxVINNIExxx, dinsdag 7 juni 2005 11:56

Score: 2
Nou ik denk dat meneer de vries wel blij is met de gratis reclame voor zijn site. En voor zijn eigen naamsbekendheid. Dat is volgens mij ook de reden dat mensen zoals de Vries het doen. En laat me niet verkeerd begrepen worden. Zoiets als dit staat toch altijd wel aardig op je CV.

Door Shaka, dinsdag 7 juni 2005 12:05

Score: 0
Volgens deze meneer de vries waren er op nog
meer plaatsen in de hotmail site hetzelfde lek
te vinden. Ik hoop voor hen dat ze die ook dichten }>

Ach, security isues liggen altijd aan slordig programmeren of onvoorzien gebruik van de codes. Kan gebeuren!

Door Lunoah, dinsdag 7 juni 2005 12:09

Score: 0
Petje af.. ik kan helemaal niet hacken maar het is clever gedaan. 20 jaar.. en nu al hotmail hacken. Hulde!

Door userIA, dinsdag 7 juni 2005 12:22

Score: 0
Kill the messenger? ;)
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 15:04 Siemens verkoopt mobiele-telefoondivisie aan BenQ
Vorige 11:10 Debian Sarge officieel uitgebracht
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011