XSS-Lücke auf Liveleak.com

Veröffentlicht: 14. September 2014 in IT-Security
Schlagwörter:, , ,

„◾If there’s a leak out of my administration, I want to know who it is.“ – Karl Rove

Es geht in die zweite Runde! Nach Youporn und einiger Verbundseiten entdeckte ich gestern auf Liveleak.com eine Lücke die es ermöglicht eigenen Code einzuschleusen.
Im unten zu sehenden Video zeige ich kurz, wie die Cookie-Session-Daten und Redirect auf liveleak.com ausgeführt bzw. abgegriffen werden können.

Am unteren Bildschirmrand lassen wir einen kleinen Fake-Newsticker laufen, der dort ebenso nicht original hingehört ;-)
Ich hatte @liveleak via Twitter mehrfach auf ein Problem mit der Seite hingewiesen, bekam aber keine Antwort.
Zu beachten: funktioniert mit dem IE, jedoch nicht mit Firefox!

XSSed
Vielleicht reagiert man bei Liveleak nun? Bevor jemand Liveleak-Links verteilt in denen Schadcode (drive-by-download)
oder BeEF-Hooks verteilt werden?

You got „XSSed“! Told ya you are vuln! ;-)

 

Video:

 

 

Advertisements

Eigenen Senf dazu geben

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s