Java Script

Message

neo26 · #1 Post by **neo26** » 28. Dec 2001 9:15

Hallo

Ich habe folgendes Problem vieleicht kann es mir jemand genauer erklären.
ALs ich eine Site im Internet öffnete popte eine weider Site mit dem Inhalt eines meiner lokalen Laufwerke auf.
Meine Ports sind alle geschlossen (es ist nicht Port 139).Ich habe einen seperaten Rechner den Ich als
Firewall benutze (ipchains Kernel 2.2.16).
Ich denke es handelt sich um ein Java Script.
Kann mir jemand die arbeits weisse dieses Scriptes erklären?
War meine Festplatte wirklich Remote sichtbar? Oder nur für mich was ich denke.

Vielen Dank

Neo26

Rossi · #2 Post by **Rossi** » 28. Dec 2001 13:31

Da hat sich jemand einen Spaß erlaubt und das muß nicht mal JavaScript gewesen sein (außer fürs Popup). Schau Dir mal den Quellcode der Seite an

Rossi · #3 Post by **Rossi** » 28. Dec 2001 13:32

Tip: Das dürfte auch entweder nur mit Windowsclients funktionieren oder nur mit Linux/Unixclients. Je nach Seite.

tuxpaq · #4 Post by **tuxpaq** » 28. Dec 2001 13:45

@Michael

Hoert sich interessant an <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Hast Du bitte mal den Link zu der Seite?
(Bin ja fuer solche Spaesse immer zu haben;)

tia,
tuxPAQ

neo26 · #5 Post by **neo26** » 28. Dec 2001 22:05

Hi

Die Site popt auf wenn man die Site www.cdrsoft.cc anwählt.
(Java Script muß aktiviert sein.)

Weiß jemand wie die Site funzt? Besteht ein Sicherheitsrisiko? Oder ist es bloß ein Spaß ohne auswirkungen.

bye

Descartes · #6 Post by **Descartes** » 29. Dec 2001 0:04

Die betreffende Seite funktioniert nicht, wenn du JavaScript deaktiviert hast, da dann ja auch die JavaScript-Funktion window.open() nicht ausgeführt wird.

http://www.cdrsoft.cc
--> window.open() --> http://www.cdrsoft.cc/hackercd.html
--> frame --> http://www.hacker-spider.de/?id=10314&layout=2

Das ganze ist recht trickreich gemacht. Erst ein PopUp ohne Navigationsmöglichkeit (http://www.cdrsoft.cc/hackercd.html). Darin wiederum steht eine HTML Seite mit nur einem einzigen Frame (http://www.hacker-spider.de/?id=10314&layout=2).
In der letzten Seite wiederum steckt ein IFRAME das versucht die URL file:///C|/ darzustellen. Dies wiederum kann *nur* unter Windows funktionieren (unter Linux, Apple, etc. gibt es kein Laufwerk "C")
und selbst dann muss es nicht funktionieren da unter Win2k/WinXP man die Laufwerksbuchstaben frei zuteilen kann. (Ausnahme: Die Systempartition wo %WINDIR% liegt).

<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
Ausschnitt aus dem HTML Sourcecode der Webseite:
...
<iframe
src="file:///C|/"
height=130 width=580
marginwidth=0 marginheight=0
scrolling=no frameborder=0
vspace=2>
</iframe>
...
</font><hr></pre></blockquote>

neo26 · #7 Post by **neo26** » 29. Dec 2001 0:25

Hallo

Vielen Dank für die erklärung.
Gehe ich recht in der Annahme das nur ich den Inhalt von C sehen konnte? Nicht etwa ein 3.Person.

Descartes · #8 Post by **Descartes** » 29. Dec 2001 2:32

> Vielen Dank für die erklärung.
nichts zu danken

> Gehe ich recht in der Annahme das nur ich den Inhalt von C sehen konnte?
> Nicht etwa ein 3.Person.
davon gehe ich aus.
CGI's bekommen damit keinen (IFRAME) Zugriff auf deine Festplatte da diese Serverseitig laufen -> unproblematisch.
Selbst ein JavaScript oder VBScript ist IMHO unproblematisch da diese rein clientseitig ablaufen nachdem die seite bereits geladen ist. Etwas anderes wäre, wenn
a) ein JavaScript eine für WinNT/2k/XP wichtige Datei (z.B. file:///C|/boot.ini) dahingehend verändern würde dass diese ungültige Daten enthält. Der Rechner würde erst einmal nicht mehr booten. Das gleiche wäre mit einer Datei %WINDIR%\explorer.manifest die ungültiges XML enthalten würde. --> explorer.exe wird infolge fehlerhafter explorer.manifest erst gar nicht geladen. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
b) ein JavaScript/ActiveX den Inhalt einer Datei ausliest und wegmailt
c) ...
d) ...
bei Windows gibt es leider ein paar unangenehme Stellen
<a href="http://www.ciac.org/ciac/bulletins/m-030.shtml" target="_blank">http://www.ciac.org/ciac/bulletins/m-03 ... 
<a href="http://www.ciac.org/ciac/bulletins/m-027.shtml" target="_blank">http://www.ciac.org/ciac/bulletins/m-02 ... 
<a href="http://www.ciac.org/ciac/bulletins/m-024.shtml" target="_blank">http://www.ciac.org/ciac/bulletins/m-02 ... 
<a href="http://ciac.llnl.gov/ciac/bulletins/m-015.shtml" target="_blank">http://ciac.llnl.gov/ciac/bulletins/m-0 ... 
<a href="http://www.ciac.org/ciac/bulletins/m-005.shtml" target="_blank">http://www.ciac.org/ciac/bulletins/m-00 ... 
<a href="http://ciac.llnl.gov/ciac/bulletins/k-021.shtml" target="_blank">http://ciac.llnl.gov/ciac/bulletins/k-0 ... 

mehr bei:
<a href="http://www.cert.org/" target="_blank">http://www.cert.org/</a>
<a href="http://www.ciac.org/ciac/bulletinsByTyp ... etins.html" target="_blank">http://www.ciac.org/ciac/bulletinsByTyp ... 

auch ganz nützlich:
<a href="http://wtc.trendmicro.com/wtc/" target="_blank">http://wtc.trendmicro.com/wtc/</a>

neo26 · #9 Post by **neo26** » 29. Dec 2001 12:23

Hi

Super erklärung danke dafür.
Das mit dem Mailen meines Festplatten inhaltes kann ich ausschliessen, da ich mir den Netzwerktraffic angeschaut habe und es ausschließlich Traffic nach port 80 gibt und auch nur vom Browswer .
Etwas anderes würde mein Paketfilter auch nicht zulassen.
Ich sehr schon ich muß mein Wissen über Script stark verbessern um mein System Wirklich sicher zu machen.

Descartes · #10 Post by **Descartes** » 29. Dec 2001 17:03

Hier eine etwas portablere Version die auch mit Linux klar kommt <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
<html>

<head>
<script language="JavaScript" type="text/javascript">
 her:</h3>';
} else {
iframe_src += '<h3>Zeig mal dein /home her:</h3>';
}
iframe_src += ('<iframe src="' + local_path() + '" width="640" height="480"></iframe>'
);
return iframe_src;
}
//********************************************************************************
function show_obj(obj, obj_name) {
var result = "Object = " + obj_name + "
" + obj +"

";
for (i=0; i<10; i++)
result += obj_name + "[" + i + "] = " + obj.indexOf(i) + "
";
result += isWindows() ? "MICROSOFT" : "OTHER";
return ("<pre>"+result+"</pre>");
}
//********************************************************************************
//-->
</script>
</head>

<body>


<script language="JavaScript" type="text/javascript">

</script>


</body>

</html>
</font><hr></pre></blockquote>

Descartes · #11 Post by **Descartes** » 29. Dec 2001 17:53

Da hat das Board doch glatt wieder was verfälscht.

<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
<html>

<head>
<script language="JavaScript" type="text/javascript">
 her:</h3>';
} else {
iframe_src += '<h3>Zeig mal dein /home her:</h3>';
}
iframe_src += ('<iframe src="' + local_path() + '" width="640" height="480"></iframe>\n');
return iframe_src;
}
//********************************************************************************
function show_obj(obj, obj_name) {
var result = "Object = " + obj_name + "\n " + obj +"\n\n";
for (i=0; i<10; i++)
result += obj_name + "[" + i + "] = " + obj.indexOf(i) + "\n";
result += isWindows() ? "MICROSOFT" : "OTHER";
return ("<pre>"+result+"</pre>");
}
//********************************************************************************
//-->
</script>
</head>

<body>


<script language="JavaScript" type="text/javascript">

</script>


</body>

</html>
</font><hr></pre></blockquote>

trinity · #12 Post by **trinity** » 29. Dec 2001 21:01

@Michael
Also auf meine m Windows System wurde mir nichts angezeigt (verwende allerdings auch Mozilla)

>Das mit dem Mailen meines Festplatten inhaltes kann ich ausschliessen, da ich mir den Netzwerktraffic angeschaut habe und es >ausschließlich Traffic nach port 80 gibt und auch nur vom Browswer.

Warum sollte das nicht möglich sein die Daten mittels deines Browsers zu versenden. Dazu mal ein mögliches szenario: dieses Script schreibt deines Festplatteninhalt in eine Datei und versendet es an den Server (bzw. der holt es von deinem Rechner wieder ab). Utopisch? Ein Gedanke, wäre z. B. es in ein Cookie zu speicher, welches der Server bei dir abholt. (Alles strikt über Port 80 und vom Browser)

>Etwas anderes würde mein Paketfilter auch nicht zulassen.

Mehr ist ja auch nicht notwendig (es sei denn man will auffallen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">)

>Ich sehr schon ich muß mein Wissen über Script stark verbessern um mein System Wirklich sicher zu machen.

Nein, du musst nur auf einen Mischwald setzen. Der IE (und auch Outlook und anere MS Produkte) hatte in letzter Zeit mit sehr vielen, sehr großen und sehr üblen Sicherheitslücken zu kämpfen (Nimda, Badtrans, MIME-Bugs etc) Wer den einsetzt, braucht sich über nichts wundern (ganz besonders nicht Benutzer des neuen IE6, ActiveX sei dank)

ActiveX Module dürfen alles was der IE darf. Wer hat da grad gerufen der IE ist Teil des Betriebssystems....

Descartes · #13 Post by **Descartes** » 29. Dec 2001 21:51

@Lutz
> Also auf meine m Windows System wurde mir nichts angezeigt (verwende allerdings auch Mozilla)
Ich sage doch dass die Webseite schlecht programmiert ist. Es funktioniert scheinbar wirklich nur mit dem Internet Explorer. Mein Mozilla zeigt auf der Webseite ebenfalls das IFRAME nicht an. Mangels Opera kann ich dessen Anzeige nicht evaluieren.

Bei meinem oben abgedrucktes Beispiel HTML/JavaScript zeigt dagegen sowohl Windows (Mozilla und Internet Explorer) als auch Linux (Mozilla und Konqueror) das IFRAME korrekt an.

> ActiveX Module dürfen alles was der IE darf. Wer hat da grad gerufen der IE ist Teil des Betriebssystems....
Hierzu eine kleine Anekdote:
Microsoft selbst empfiehlt die Sicherheitseinstellungen des Internet Explorer nach der Installation sehr restriktiv einzustellen und alles möglich was gefährlich werden kann (also eigentlich alles; aber vor allem ActiveScripting und Co.) für das Internet zu deaktivieren.
Dummerweise funktioniert dann natürlich auch der Microsoft Webauftritt nicht mehr da für <a href="http://windowsupdate.microsoft.com/" target="_blank">http://windowsupdate.microsoft.com/</a> und <a href="http://officeupdate.microsoft.com/" target="_blank">http://officeupdate.microsoft.com/</a> jeweils ein paar der abgeschalteten Funktionen benötigt werden. Nicht nötig zu erwähnen dass jede aufpoppende Fenster (ein Applet das Installiert/Ausgeführt werden möchte) hier penibel zu akzeptieren ist -- ansonsten ist es wieder Essig mit dem Update.
Dass man dabei immer Up-To-Date bleibt was den Browser betrifft dafür sorgt Microsoft schon selbst. Von meiner Arbeitsstätte aus kann ich zum Beispiel die Windows-Update Webseite von Microsoft erst gar nicht ansurfen da der bei uns hier installierte Internet Explorer 5.0 laut Microsoft zu alt ist. Man möge doch bitte den IE 6.0 installieren und dann wieder kommen (mit aktiviertem ActiveScripting, ...)

neo26 · #14 Post by **neo26** » 30. Dec 2001 0:07

Das IFrame wird auch beim Opera (Opera 6.0) Browser gezeigt.Also funzt nicht nur mein IE.
Und Lutz dein Szenario mit dem Cookie funzt gott sei dank bei mir auch nicht da ich keine Cookies akzeptiere.

Pro-Linux

Java Script

Java Script

Re: Java Script

Re: Java Script

Re: Java Script

Re: Java Script

Re: Java Script

Re: Java Script

Re: Java Script

Re: Java Script

Re: Java Script

Re: Java Script

Re: Java Script

Re: Java Script

Re: Java Script