-
Willkommen im Geoclub - dem größten deutschsprachigen Geocaching-Forum. Registriere dich kostenlos, um alle Inhalte zu sehen und neue Beiträge zu erstellen.
Ermitteln von Final-Koordinaten mit JS
- Ersteller radioscout
- Erstellt am
Dunuin
Geocacher
Ich hab gerade selbst nen JS in meinen eigenen TB eingefügt und NEIN es wurde noch nicht behoben.
Könnte mir jetzt super selbst die Cookies klauen.^^
Wer testen möchte, ob die Lücke inzwischen behoben wurde, oder ob das deaktivieren von JS auf GC.com klappt, der kann meinen TB angucken.
Solange die Lücke nicht behoben ist, solltet ihr ein Popup bekommen, was euch sagt, dass ihr vorerst Javascript besser deaktivieren solltet. Ausgespäht wird dabei im übrigen nichts, das Script macht nichts weiteres als ein Popup mit Warnhinweis zu öffnen.
Edit 25.09:
Immer noch nicht behoben.
Edit 25.09 15:30:
Und immer noch nicht...die lassen sich wirklich Zeit.
Könnte mir jetzt super selbst die Cookies klauen.^^
Wer testen möchte, ob die Lücke inzwischen behoben wurde, oder ob das deaktivieren von JS auf GC.com klappt, der kann meinen TB angucken.
Solange die Lücke nicht behoben ist, solltet ihr ein Popup bekommen, was euch sagt, dass ihr vorerst Javascript besser deaktivieren solltet. Ausgespäht wird dabei im übrigen nichts, das Script macht nichts weiteres als ein Popup mit Warnhinweis zu öffnen.
Edit 25.09:
Immer noch nicht behoben.
Edit 25.09 15:30:
Und immer noch nicht...die lassen sich wirklich Zeit.
Dunuin
Geocacher
Und immer noch nicht behoben...
Hat das überhaupt mal wer GC.com mitgeteilt?
Kann doch nicht angehen, dass eine Sicherheitslücke, welche Accountübernahmen ermöglicht einen knappen Monat offen bleibt?
Edit:
So, ich habe jetzt mal direkt an GC.com gewand, da der Reviewer auch nicht helfen konnte.
Im übrigen kann man nicht nur jedes Javascript einfügen, sondern jeglichen HTML-Tag.
Mit dem iframe-Tag kann man so auch jeden Dateityp in die TB-Seite einbinden etc.
Echt üble Sicherheitslücke und nach über 3 Wochen immer noch nicht behoben. Habe irgendwie nicht das Gefühl, dass die überhaupt jemanden haben, der dafür sorgt, dass die Seite sicher ist. Wenn ich denen schon Geld zahle, damit die die Seite pflegen, dann sollte man doch eigentlich auch davon ausgehen, dass die zügig die Fehler beheben, wenn sie schon nicht in der Lage sind, das professionell zu programmieren.
Ist ja jetzt nicht so, dass man irgendwie daran tüfteln müsste, deren Sicherheitsvorkehrungen zu überlisten, da einfach garkeine existieren und Nutzereingaben direkt in den Quelltext eingefügt werden...
Hat das überhaupt mal wer GC.com mitgeteilt?
Kann doch nicht angehen, dass eine Sicherheitslücke, welche Accountübernahmen ermöglicht einen knappen Monat offen bleibt?
Edit:
So, ich habe jetzt mal direkt an GC.com gewand, da der Reviewer auch nicht helfen konnte.
Im übrigen kann man nicht nur jedes Javascript einfügen, sondern jeglichen HTML-Tag.
Mit dem iframe-Tag kann man so auch jeden Dateityp in die TB-Seite einbinden etc.
Echt üble Sicherheitslücke und nach über 3 Wochen immer noch nicht behoben. Habe irgendwie nicht das Gefühl, dass die überhaupt jemanden haben, der dafür sorgt, dass die Seite sicher ist. Wenn ich denen schon Geld zahle, damit die die Seite pflegen, dann sollte man doch eigentlich auch davon ausgehen, dass die zügig die Fehler beheben, wenn sie schon nicht in der Lage sind, das professionell zu programmieren.
Ist ja jetzt nicht so, dass man irgendwie daran tüfteln müsste, deren Sicherheitsvorkehrungen zu überlisten, da einfach garkeine existieren und Nutzereingaben direkt in den Quelltext eingefügt werden...
König Moderig
Geowizard
Nur als Anmerkung:
Die Paragraphen, die hier genannt werden, sind hinfällig, da wir keine brauchbare Definition dafür haben, was private Daten sind. Die Daten auf GC.com gehören, wie ihr alle "unterschrieben" habt, Groundspeak. Also, solange man sich auf Finalkoords beschränkt, klaut man keine Daten vom User sondern von Groundspeak.
Da diese Daten jedoch im Internet verfügbar sind, käme hier das Thema "Unwirksam machen von Schutzmechanismen", was eindeutig nicht passiert. Der Angreifer benutzt ein "Feature" der Website.
Außer Frage steht allerdings dass die Ausnutzung einer solchen Lücke unmoralisch ist. Als Proof of Concept hätte ich das sicherlich auch gebaut, aber zeitgleich mit der Mail an Groundspeak.
Ich habe die SIcherheitslücke übrigens schon vor drei Wochen direkt an Groundspeak gemeldet, bisher aber keine Reaktion erhalten. Und gefixt ist es auch noch nicht.
Noch was: Der Code muss nicht im Kontext der GC.com-Website ausgeführt werden, CSRF geht auch. Im Zweifelsfall reicht ein geschickt verlinktes Bild in einem Beitrag hier im Forum. Das wird teilweise durch das Shared-Secret der GC.com-Website abgefangen, aber nicht wirklich wirksam.
-nik
Die Paragraphen, die hier genannt werden, sind hinfällig, da wir keine brauchbare Definition dafür haben, was private Daten sind. Die Daten auf GC.com gehören, wie ihr alle "unterschrieben" habt, Groundspeak. Also, solange man sich auf Finalkoords beschränkt, klaut man keine Daten vom User sondern von Groundspeak.
Da diese Daten jedoch im Internet verfügbar sind, käme hier das Thema "Unwirksam machen von Schutzmechanismen", was eindeutig nicht passiert. Der Angreifer benutzt ein "Feature" der Website.
Außer Frage steht allerdings dass die Ausnutzung einer solchen Lücke unmoralisch ist. Als Proof of Concept hätte ich das sicherlich auch gebaut, aber zeitgleich mit der Mail an Groundspeak.
Ich habe die SIcherheitslücke übrigens schon vor drei Wochen direkt an Groundspeak gemeldet, bisher aber keine Reaktion erhalten. Und gefixt ist es auch noch nicht.
Noch was: Der Code muss nicht im Kontext der GC.com-Website ausgeführt werden, CSRF geht auch. Im Zweifelsfall reicht ein geschickt verlinktes Bild in einem Beitrag hier im Forum. Das wird teilweise durch das Shared-Secret der GC.com-Website abgefangen, aber nicht wirklich wirksam.
-nik
König Moderig
Geowizard
BTW, hat's schon mal jemand mit ASP versucht 
?
?
goldensurfer
Geoguru
jmsanta
Geoguru
Dunuin schrieb:
aha -also ich finde im quellcode nix mehr...
Code:
<strong>Current GOAL:</strong>
<span id="ctl00_ContentBody_BugDetails_BugGoal">Please take me to Scotland(or the direction).</span>
</p>
<p>
<strong>About this item:
</strong><br>
<span id="ctl00_ContentBody_BugDetails_BugDetails">Please make a photo of you, this Travelbug and the location you are and upload it with your TB-log.</span></p>