Hentaiuniverse

Zitat

Wie sicherlich viele mitbekommen haben wurde aniSearch heute kurzzeitig offline genommen, zusätzlich musste das Login bis zum Nachmittag gesperrt werden, da jemand ein Cross-Site Scripting (XSS) benutzt hat um Cookiedaten zu stehlen und sich damit als die Person einzuloggen.

Folgende Benutzer müssten sich bei mir melden, da der Angreifer deren E-Mail editiert hat und ich deren Profile gesperrt habe:

airkem und ICE-FrEsHnEsS.


Was ist passiert?
Der Angreifer hat mehrere PNs verschickt mit der Frage, ob der Empfänger die Person auf diesem Bild sei. Dazu hat er die Ziel-URL verschleiert, indem er im BBCode vortäuschte es wäre eine interne, vertrauenswürdige Bild-URL welche auf aniSearch liegt.

Technisch sieht das vereinfacht dann so aus: www.anisearch.de/bild.jpg

www.tinyurl.com/???? ist eine Umleitungsdomain, welche dann in diesem Fall auf eine Seite weiterleitet, die ein vom Angreifer zuvor ausgefülltes Formular mit Javascript enthält. Dieses Javascript hat dann das Cookie des Anwenders ausgelesen und abermals an ein PHP-Datei des Angreifers übermittelt. Mit den Cookiedaten war es dann dem Angreifer möglich mittels einer Kopie des Cookie sich einzuloggen. Damit der Benutzer den Angriff nicht bemerkt, wurden letztlich noch 2 geschmacklose Bilder angezeigt.

Betroffen ist, wer den Link in der PN angeklickt hat. Im baldig kommenden Update werden Sicherheitslücken die XXS erlauben komplett geschlossen sein. Allgemein sollte man Tinyurl und andere Shorthand URLs strikt meiden und bei jedem Link genau hinschauen, wohin er tatsächlich führt und sich nicht auf den Text den man sieht verlassen.


Für eine erhöhte Sicherheit habe ich zusätzlich das Login dahingehend abgeändert, dass man nun die E-Mail als Loginname eintragen muss.