JavaScript security lekje in Internet Explorer en Firefox
Charles McAuley heeft een javascript lekje in Internet Explorer en Firefox ontdekt waardoor kwaadwillenden vertrouwelijke informatie zoals creditcardgegevens, wachtwoorden en andere logingegevens kunnen stelen. Volgens McAuley kun je toetsaanslagen filteren die in een formulier worden ingevuld. De input kan dan naar de file input box worden "gebounced", en daarna weer terug naar de tekst in kwestie, waardoor het lijkt alsof er niets gebeurt is.
Om de aanval succesvol te laten verlopen moet de aanvaller de gebruiker zover weten te krijgen dat hij een bestandsnaam in een file upload input veld typt, waarna dat bestand naar een kwaadaardige website wordt gestuurd. Als de gebruiker lang genoeg aan het typen is zal hij vanzelf de benodigde karakters voor de bestandsnaam typen, waarna de aanval geslaagd is. Een variant van dit lek was al in 2000 bij de Mozilla Foundation gemeld.
Firefox versie 1.5.0.4 is kwetsbaar, maar mogelijk ook andere versies. Als oplossing wordt aangeraden om JavaScript ondersteuning uit te schakelen of om de plugin NoScript te gebruiken. In het geval van Internet Explorer betreft het versie 6.0. Daar wordt aangeraden om ondersteuning van Active Scripting uit te schakelen.
bestanden laten uploaden, waarvan jij de naam vantevoren
bepaald hebt?
Waarom dan niet gewoon <input type="file"
value="/etc/passwd" /> en het formulier submitten in de
onload van de pagina?
kan/mag/werkt niet
Dus je kunt als je heel ingewikkeld doet gebruikers
bestanden laten uploaden, waarvan jij de naam vantevoren
bepaald hebt?
Waarom dan niet gewoon <input type="file"
value="/etc/passwd" /> en het formulier submitten in de
onload van de pagina?
Omdat dat als het goed is niet kan/niet mag van je browser.
Net als een javascriptje om in 1x de value te zetten zoals
je zelf wilt. Bij deze methode gaat het erom dat de browser
denkt dat de gebruiker de text typt, waardoor het toegestaan
wordt.
https://addons.mozilla.org/firefox/722/
value="/etc/passwd" /> en het formulier submitten in de
onload van de pagina?
Dit werkt niet. Dat zou wel erg makelijk zijn he...
maar dan kun je niet niet meer bij HotMail, ook niet als je
HotMail toestemming geeft.
Dus er maar weer afgehaald. Overigens het werkt wel bij Yahoo.
Of is er een oplossing voor dit probleem?
Leuk dat NoScript, al twee keer geprobeerd te installeren,
maar dan kun je niet niet meer bij HotMail, ook niet als je
HotMail toestemming geeft.
Dus er maar weer afgehaald. Overigens het werkt wel bij Yahoo.
Of is er een oplossing voor dit probleem?
Hotmail werkt hier prima in met Firefox+NoScript. Hoef je
niets speciaals voor te doen verder, behalve dus eenmaal
hotmail.com toestemming geven.
standaard uit. Je ziet een soort rood S-je in je statusbalk.
Klik daarop en je ziet welke domeinen (!) java(script)
willen uitvoeren. Kies het domein waarop je javascript wilt
gebruiken en kies dan Allow ... of Temporarily
Allow .... De pagina wordt (standaard) opnieuw geladen
en werkt dan wel.
van firefox als foei worden gezien.
en idd, je moet eerst es kijken op welke site je zit, om die
dan ook java rechten te geven met noscripts.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.