Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

Hacker nutzen Imgur-Lücke beim Angriff auf Reddit und 8chan

- - - - -

  • Bitte melde dich an um zu Antworten
Eine Antwort in diesem Thema

#1
Framerater

Framerater

    Anti-Spam Bot

  • Elite Member
  • Likes
    398
  • 414 Beiträge
  • 224 Bedankt
  • 9737064
  • Android, Android [root], iPhone
  • Windows, Linux

imgur_e47e5a0870cfaeb8.png

 

Eine Lücke in einem beliebten Bilder-Hoster wie Imgur kann fatale Folgen haben. Wie im vorliegenden Fall, als Hacker über Bande die Nutzer von Reddit und 8chan ins Visier nahmen.
 
Ein Hacker-Angriff auf Nutzer der Webseiten Reddit und 8chan aus der vergangenen Woche zeigt anschaulich, wie gefährlich eine XSS-Lücke in einer populären Webseite in Verbindung mit Schwachstellen in anderen Web-Apps sein kann. Die

Please Login HERE or Register HERE to see this link!

hätte das Potential gehabt, über den Bilder-Hoster Imgur hunderttausende oder gar Millionen Rechner zu infizieren, wurde so aber wohl für einen recht harmlosen Spaß verschossen.
 
Bei dem Angriff wurden Besuchern auf Reddit Bilder untergeschoben, die bösartiges JavaScript auf deren Computern ausführte. Die Bilder mit dem fiesen Code im Gepäck waren über eine Cross-Site-Scripting-Lücke auf dem populären Bilder-Hoster Imgur hochgeladen worden. Sie waren nicht öffentlich einsehbar und nur auf bestimmten Sub-Reddits verlinkt. Der Java-Script-Code auf den Rechnern der Opfer missbrauchte weitere Sicherheitslücken in der Software des Imageboards 8chan, um einen C&C-Server der Angreifer jedes Mal zu informieren, wenn das Opfer eine Seite des Imageboards ansurfte.
 
Der Schadcode auf dem Rechner des Opfers wartete dann auf Instruktionen, die allerdings ausblieben. Einziges Resultat der Aktion: Infizierte Browser bombardierten 8chan mit Traffic. Mittlerweile

Please Login HERE or Register HERE to see this link!

und auch Imgur hat die XSS-Lücke geschlossen. Noch mal Glück gehabt, denn der Angreifer hätte stattdessen auch viel gefährlicheren Schadcode aus einem Exploit Kit ausführen können. Zumal er mit Imgur eine sehr mächtigen Auslieferungs-Mechanismus für seinen Code besessen hätte, wären die Bilder öffentlich gewesen und viral geteilt worden.
 
Quelle: 

Please Login HERE or Register HERE to see this link!


Als mein letzter Läufer busted wurde... haben sie nicht vor der Packstation gewartet... sondern in der Packstation, im Paket! Also VORSICHT ist angesagt!

#2
b4dministrator

b4dministrator

    Noob

  • Banned
  • PIPPIP
  • Likes
    2
  • 3 Beiträge
  • 0 Bedankt

Die XSS auf imgur.com war doch schon Ewigkeiten vorhanden.

Aber wie gewohnt werden Lücken erst geschlossen, wenn etwas passiert ist.





  Thema Forum Themenstarter Statistik Letzter Beitrag

Besucher die dieses Thema lesen:

Mitglieder: , Gäste: , unsichtbare Mitglieder:


This topic has been visited by 61 user(s)


    , ¥akuza112, 3rr0r!st, Agent, b4dministrator, baba yugo, Benassi, Benjiz, Blackhook, Bloodman, Bojka, bumg2, Bypass, c3fC, Commentor, Crap, Crowx88, Cube, CyberFlash, Dark, Dean36, felix819, Framerater, FullMetall, Goooofy, gutzuu, Hydra, Imperial, Juri, keyb0ardz, Kiyoko, lNobodyl, loginman1, lolorollo, M@t@zelle, madamor45xx, most_uniQue, netSecMushroom, nong_dan, o0o, Osed28, PaulaAbdul, peacem4ker, PHIPU, pr0legend, R3s1stanc3, raider, SAR, SavE1, shiznith, shok0, Silent0wn3r, Slixer, smc2014, Smokyjoe, Stanley, Take1T, Toskom4n, vital, White-Warti, x1z0ng
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.