XSS lekje in Hotmail
De Nederlander Alex de Vries, ook bekend als "Eierkoek", ontdekte een cross-site scripting lek op msn.com waardoor het mogelijk is Javascript te laten uitvoeren. Een kwaadwillende kan van dit lek gebruik maken om cookies te stelen van MSN abonnees om bijvoorbeeld toegang te krijgen tot Hotmail accounts. Hiervoor is het dan wel nodig dat het slachtoffer eerst op een link klinkt die door de aanvaller is verstuurd. Een "proof of concept" van het XSS probleem is te vinden door op deze link te klikken.
Alex zegt Microsoft op de hoogte te hebben gebracht, maar geeft niet aan hoe lang geleden dit is gebeurd. Zijn motivatie voor het nu al bekend maken van het probleem is dat Microsoft nu gedwongen wordt om snel het gat te dichten, zo laat hij op deze pagina weten.
In this document I explain how to exploit a security hole I found in
http://www.hotmail.com/. This is not fiction, but a real story and still works as
of today (2005-06-04). With this exploit you can access other people's
mailboxes, view their contacts and much more. All that needs to be done is
send this user an e-mail with a link/url to an internet-page you created.
When this user clicks on this url, his inbox is all yours.
I've tried to explain the situation as simple as possible, so that anyone can
understand it.
info hijack vanaf security.nl
De eer komt toe aan security.nl, niet mr. A. de Vries. (eitje;P)
Zou hij het ook bekend hebben gemaakt als het een linux
foutje was?
Natuurlijk niet, je weet hoe geheimzinnig die open
source-mensen altijd zijn over fouten in hun software.
Zou hij het ook bekend hebben gemaakt als het een linux
foutje was?
tuurlijk wel, maar windows is nou eenmaal zo lek als een mandje
Zou hij het ook bekend hebben gemaakt als het een linux
foutje was?
tuurlijk wel, maar windows is nou eenmaal zo lek als een
mandje
Wat heeft dit nu weer te maken met linux of windows???
Het geeft wel weer aan hoe hoef het niveau hier is!
Een CSS lek zit een een website en niet in een OS
zo gek bent op windows!
eens volwassen! Het gaat echt nergens over met dat eindeloze
Linux-Windows geblaat.
Het onderwerp is XSS!!!
Linux, nee Windows, nee Linux, nee Windows. Kinders wordt
eens volwassen! Het gaat echt nergens over met dat eindeloze
Linux-Windows geblaat.
Het onderwerp is XSS!!!
Jah da snapt hier volgens mijn niemand
De eer komt toe aan security.nl, niet mr. A. de Vries.
(eitje;P)
Van 13/11/02:
http://packetstormsecurity.org/0211-exploits/XSS-Cookie-Advisory.txt
http://www.hackers4hackers.nl/reader.php?h4h=12&page=05
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.