Thread: Universal Music wirbt für thepiratebay.org

Offenbar scheint es auf der Newsletter-Verwaltungswebsite von Universal Music Deutschland ein kleines Sicherheitsleck zu geben, weswegen Universal (wahrscheinlich unbeabsichtigt :-D) für den Bittorrent Tracker thepiratebay.org wirbt :-D

Universal Music

omg..
Und sowas von Universal Music.
  
hmm... aber irgendwie geht mein JS Code nicht so ganz..

EDIT: Ok, es geht doch:
Virus auf der Universal Website

Mein Firefox war nur so sicher. NoScript hat es geblockt.^^
EDIT2:
hmm.. Wieso geht die TPB Website eigentlich nicht mehr?

Man fragt sich nur, welche(r) Webprogrammierer auf die Idee kam(en), Statusmeldungen direkt als Text in der URL mitzusenden. Das ist doch blöd, dann soll man einen Status-Code nehmen und den intern umwandeln...

dann hätten wir wenigstens noch den spaß und könnten
status=1
status=2
status=3
status=4
status=5
[...]
status=27

ausprobieren^^

Die Seite der Bundesregierung hatte auch sehr lange dieses Lücke die müssen den Selben Programmierer haben :P

Bei Universal ist es mir eigentlich relativ egal auch wenn die derzeit die Filme und Serien Produzieren die eigentlich anschaue :P bei der Bundesregierung fand ich das schon etwas schlimmer da da viele nennen wir sie "User" drauf gehen und alles glauben was da steht. Gibt noch zig solcher Seiten ich weis auch ned warum man das macht... das ist bei mir mittlerweile ne Sache dir mir direkt ins Auge sticht ... zumindestens kann man scheinbar aber keinen Schadcode einbauen sonst wäre die Seite nämlich jetzt schon down^^

Warum funktioniert das nicht?
.%22]Klick

Wenn ich per echo $_GET['status'] das ausführe sollte doch eigentlich ein Ergebnis kommen, oder etwa nicht? (hab net getestet)

Du musst bedenken, dass der Text als String eingelesen wird und daher als String ausgegeben wird. Deine Technik ginge nur, wenn der Source-Code so aussähe:Aber so dumm wird hoffentlich kein Berufsprogrammierer sein.

Edit

Ah, hab grad wieder etwas verspätet gesehen, dass du ja versucht hast, den String zu schließen und die PHP-Variable anzuhängen. Aber PHP sieht das ja nicht so wie du als Nutzer. PHP weiß nur, dass das einkommende Objekt vom Typ String ist und die gegebenen Zeichen enthält.
Und die Ausgabe der Variable hat ja eh keine Anführungszeichen in der Umgebung.

Oh mein "G..+"    (darf man das als nicht Christ sagen? xD)
Ich habe eigentlich nie gelernt was XSS wirklich ist, und wie man sicher programmiert (in PHP) (btw. kennt da jeman ein gutes eBook, TUT?)
Aber ist es nicht die Aufgabe eines Programmieres, jegliche Sicherheitslücken zu meiden und.. äh...
Will man einmal groß reden, fehlen einem die Worte ^^
Aber ihr wisst, was ich sagen wollte.   

EDIT:
Weils gerade so schön ist:
Universal Bug <-- Das war nicht so leicht wie es aussieht..
ein transparenter pixel der sich über das gesamte bild erstreckt, und als Link fungiert, wäre auch gemein, fällt mir gerade ein...

Hey, Th3D, das find ich ja mal geil :-D Neuer Volksport: Lustigen Inhalt in die Universal Music Website zaubern :-D

Ich muss Zombie recht geben. PHP-Code kann man da nicht ausführen, da der Kram ja als String eingelesen und ausgegeben wird.

Interessant ist Th3Ds anderer Ansatz mit dem Javascript. Da Javascripte ja Cookies auslesen können und diese Seite offensichtlich Sessions verwendet, könnte man den Session-Cookie des Opfers auslesen und zb. über Javascript ein Bild einbinden, dessen Adresse diesen Session-Code enthält. Der Angreifer könnte anhand der Aufrufe des Bildes die Session des Opfers in Erfahrung bringen und sich mit selbiger einloggen, um zb. persönliche Daten o.Ä. in Erfahrung zu bringen. Bei diesem Szenario gehe ich natürlich davon aus, dass die Session nicht an eine IP gebunden ist. Ich meine.. Die Übergeben eine Fehlermeldung als String in einer Get-Variable und überprüfen selbigen nicht mal auf html/Javascript. Das spricht nicht gerade für ein großes Sicherheitsbewusstsein. Dass man Login-Daten nicht noch über eine Get-Variable übergibt, sondern über eine Session, ist noch alles :-D