Leeroymonster Skrevet 26. mai 2008 Rapporter Del Skrevet 26. mai 2008 Jeg fikk høre fra en ekspert at kriminelle kan finne 90% av informasjonen de trenger gjennom internett, f.eks. gjennom Facebook. Det samme sies visst om amerikansk etterretning, at 90% av informasjonen "spioner" henter inn for den amerikanske regjeringen ligger åpent ute på nettet. Lenke til kommentar
DarkSlayer Skrevet 27. mai 2008 Rapporter Del Skrevet 27. mai 2008 xss basic: Vet ikke om noen her har lagt merke til det noen gang, men f.eks sider laget i java (wow f.eks), legger på en jsessionid=blablabla i url noen ganger. Om jeg går til en slik side og får en slik url. copy/paste til en epost og sender til kompisen min (som jeg vet har konto der). Han benytter da url'en med sessionid og logger seg inn. Da er session innlogget og jeg kommer inn. seff - antar at wow har ekstra ting som blokker. i disse ajax tider så kan eg lage en webside slik ene eksemplet var fra m.facebook.com. Da kan eg jo legge til javascript som henter sessionid og sender den til meg etter at vedkommende har logget inn. Dette er eneste tilfelle jeg kommer på som noscript vil funke. Men slik jeg tror sårbarheten var i dette tilfellet, så var url'en laget noe ala www.facebook.com?redirect=www.myevilsite.com - ergo du logger deg inn og får gyldig session, blir så redirected til en annen plass som kanskje vil klare å sniffe session på en lur måte. Nå gjetter jeg vilt altså, men det er slik det fremsto for meg. xss er noe dritt å forholde seg til ... Lenke til kommentar
onkelRoar Skrevet 29. mai 2008 Rapporter Del Skrevet 29. mai 2008 Er det noe problem når jeg aldri legger ut noe personlig på Facebook å lignende sider? Eller brukes det til å hakke seg innpå PC-en min? Nei. Da har du ingenting å frykte. Det skumle er hvis slike angrep skjer mot webbaserte e-postklienter. Da kan man f.eks. sette opp filtere for å videresende e-post, og siden mange innloggingstjenester oppererer med at man kan få laget nytt/tilsendt passord over e-post vil crackere få full kontroll over alle tjenester du har registrert deg på med den e-postadressen. Det var et tilfellet under Gmail-sårbarheten for et halvt år siden hvor noen greide å kapre domenet til noen andre. Resultatet var flere tusen i tapte inntekter. Takker for et godt å utfyldende svar Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå