StudiVZ - Privacy: reloaded

verspult.com - die neue blogsuppe

StudiVZ - Privacy: reloaded Mo, Dez 11. 2006

Zu der von Stefan und mir vor zwei Wochen entdeckten Lücke, die erlaubte, sich in private Gruppen einzuladen, schreibt StudiVZ-Manni im StudiVZ-Blog jetzt folgendes:


...
- Mittels XSS-Angriff wäre es möglich gewesen, Gruppen oder Pinnwände zu manipulieren. Die uns hierzu bekannten Wege haben wir geschlossen.
- Wir haben Lücken geschlossen, mit denen eine SQL-Injection möglich gewesen wäre.

- Es ist jetzt nicht mehr möglich, sich selbst in Gruppen einzuladen.
...


Machen wir doch ein mal die Probe aufs Exempel mit den Gruppen: Wenn ihr das Unternehmen reproduzieren wollt, müsst ihr zum einen Moderator in einer beliebigen Gruppe sein. Das ist defacto aber kein Problem, da jeder eine Gruppe gründen kann. Zum anderen benötigt man Firefox und die Webdeveloper-Extension.

Um sich selbst in eine Gruppe einzuladen, einfach eine Gruppe auswählen, wo man Moderator ist. Dort dann eine beliebige Person einladen, dann aber nicht auf "XXXX einladen" klicken.



Anstelle dessen jetzt unter Firefox bei Extras Webdeveloper anklicken und "Edit HTML" unter Miscelleanous anwählen: Damit kann man dynamisch den HTML-Quelltext einer Website editieren, der Quelltext öffnet sich auf der linken Seite des Browser-Fensters.

Jetzt gilt es nur noch, im entsprechenden Formular die entsprechenden Zeilen anzupassen:


<form action="groupinvite.php" method="post" name="">
<input type="hidden" id="checkcode" name="checkcode" value="5c600369327f8ce35a04c9652f4ec48" />
<input type="hidden" id="ids" name="ids" value="USERID" >
<input type="hidden" id="gids" name="gids" value="GROUPID">
<input type="hidden" id="save" name="save" value="1" >

<div class="formbuttons">
<input type=submit class='inputsubmit' value='XXXX einladen' />
<input type=button class='inputsubmit' value='Nein, doch nicht!' onclick='history.go(-1);return true;' />
</div>
</form>



Dazu müsst ihr einfach bei gids die ID der vermeintlich geheimen Gruppe eintragen, bei ids gehört eure User-ID rein... Das HTML-Fenster nicht schließen, dann auf Absenden klicken - und schwupp die wupp, man sieht die Übersichtsseite über alle Gruppen. Nix passiert? Scheisse, nicht geklappt, denkt man, doch weit gefehlt. Denn auf "Meine Seite" wurde euch soeben von euch selbst eine Einladung für die geheime Gruppe zugestellt.

Nun bin ich aber entgültig sprachlos: Der absichtlich eingebaute checkcode sollte ja normalerweise verhindern, daß ein User die Daten in so einem HTML-Formular abändert. Schlimmer noch: Den StudiVZ-Nutzern wird vorgegaukelt, das System sei sicher. Spätestens jetzt heisst es für StudiVZ-Manni eines: Warm anziehen! Denn der Winter wird lang und kalt!

Geschrieben von elias Kommentare: (15) Trackbacks: (8)

Trackbacks
Trackback für spezifische URI dieses Eintrags

Neue Woche, neue Lücke: Studivz lebt!
JFTR; da an der Blogbar das Thema schon behandelt wird, hier nur ein Kurzabriß der neuen Lücke, einer Variation von etwas,...
Weblog: blogdoch.net — jetzt wird zurückgeblogt
Aufgenommen: Dez 11, 16:40
Die studiVZ Chroniken
Dies soll ein Versuch sein, die Geschehnisse um das StudiVZ nochmal chronologisch zusammenzufassen. So etwas wurde schon von Michael hier und von Karsten hier (auf englisch) getan. Ich versuche das aber noch etwas ausführlicher (und auf deutsch) zu sc...
Weblog: [...--www.daburna.de--...] - Blog
Aufgenommen: Dez 11, 20:37
So sollte eine Community nicht funktionieren
Dieser Blogeintrag wird eine ungeordnete Zusammenstellung aller möglichen Links, die ich rund um die Probleme bei StudiVZ finde: Was war. Was wird (1) Was war. Was wird (2) Was war. Was wird (3) (Heise) Datenleck beim StudiVZ? (Heise) Weiter Wirbel
Weblog: ads' corner
Aufgenommen: Dez 11, 23:40
Artikel-Linkliste 12.12.06
StudiVZ Datenlücke der Woche - und weiter geht die Daily Soap Polizei darf (noch) keine Rechner hacken - Der Bundesgerichtshof in Karlsruhe hat die unbemerkte Online-Durchsuchung per Hackangriff oder Trojaner-Installation für gesetzeswidrig erklärt. Dark-Born's Strafanzeigenaufruf mit Mustertext gegen das Suizidforum
Weblog: Brainscan Blog
Aufgenommen: Dez 12, 08:01
StudiVZ: Chronologie (Stand: 11.12.2006)
eine subjektive Aufstellung von informativen und/oder lesenswerten Links zu StudiVZ in chronologischer Reihenfolge überarbeitet und bis zum aktuellen Stand .. to be continued..
Weblog: Beissreflex
Aufgenommen: Dez 12, 09:09
StudiVZ: Gruppenselbsteinladung, jetzt noch komfortabler!
Nein, ganz so schlimm ist es dann auch nicht. Zwar hat elias gestern einen schönen, neuen Weg des selbst in Gruppen Einladens beschrieben, aber diesmal hat man beim StudiVZ schneller reagiert. Wie in einem Kommentar der Betroffenen selbst angek...
Weblog: Inkompetenz ist auch eine Kompetenz
Aufgenommen: Dez 12, 13:46
Es ist erst vorbei, wenn es vorbei ist
(...)d ich dachte schon es wäre vorbei. Die Sache mit StudiVZ meine ich. Aber naja, war in letzter Zeit (...)
Weblog: * nein. ja. erledigt. los.
Aufgenommen: Dez 13, 10:30
wvejtqcc iablppowaeu xqtirdmmxdi dqloxxmee mitlqhgtu iwayzoqjq yljjvhkzo
huxypaohsu pcyubyzss dqnpcxbbbi oubfthe psseots xalvaaifroc xlvlpznzb uhqvzvvfg
Weblog: lyojerkdeo
Aufgenommen: Jan 06, 09:42

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

#1 - atari besagt:
11.12.2006 14:07 - (Antwort)

oO, gleich mal ausprobieren...

#2 - Carsten Otto besagt:
11.12.2006 14:11 - (Antwort)

Sehr gut.

#3 - Markus Merz besagt:
11.12.2006 14:44 - (Antwort)

Kicher! Immerhin schon einmal einen Checkcode für irgendwas eingebaut :-)

Nein, einen checkcode für alle hidden fields einzubauen, ist natürlich ein Ding der Unmöglichlichkeit.

Ich warte jetzt auf den Hack zur Checkcode Erzeugung ...

#4 - Robert 11.12.2006 14:47 - (Antwort)

hi @ bildzeitung 2.0

#5 - studiVZ-Team besagt:
11.12.2006 15:13 - (Antwort)

Hallo Elias,

danke für den Hinweis. Wir haben das Problem behoben.

Viele Grüße
das studiVZ-Team

#5.1 - Markus Merz besagt:
11.12.2006 22:36 - (Antwort)

Und nicht vergessen das Geld zu überweisen!

#6 - Steve 11.12.2006 15:49 - (Antwort)

Habe es getestet. Funktioniert bei mir leider nicht....Bei wem hat es noch funktioniert.

Der Manni wirds doch noch nicht abgeändert haben, oder? :-D

#6.1 - marc besagt:
11.12.2006 16:12 - (Antwort)

@steve: lies mal kommentar #5, du leuchte :-)

#6.2 - Ole 11.12.2006 16:24 - (Antwort)

Habs auch ausprobiert, klappt nich...

#7 - TomK32 besagt:
11.12.2006 16:20 - (Antwort)

Also wirklich, dem User so viel Freiheit zu lassen. Sowas prüft man doch serverseitig. Ich glaub ich werd demnächst wohl erleben dass mein kleiner Bruder (kein Hauptschulabschluss) für StudiVZ programmiert ;-)

#8 - gorillaschnitzel besagt:
12.12.2006 08:53 - (Antwort)

Hehehe....prächtig....Jungs wie ihr sind die Totengräber von studiVZ. Nicht die allerschlechteste Trophäe an der Wand, findet ihr nicht?

#9 - Cassiel 12.12.2006 09:51 - (Antwort)

Ach Leute, wenn ihr StudiVZ abschalten wollt macht's doch einfach ein bisschen kleverer: Nicht direkt jede gefundene Lücke melden, sondern mal sammeln und dann alle auf einmal veröffentlichen. Am besten im Presseverteiler für heise.de oder golem.de. Vorher noch mit DonAlphonso und den restlichen Anti-StudiVZ-Aktivisten absprechen. Dann kommen halt mal 20 Lücken auf einmal, mal schauen wie lange FrickelVZ da noch mithalten kann. ;-)

#9.1 - Elias besagt:
12.12.2006 10:59 - (Antwort)

Nö, mir gehts gar nicht darum StudiVZ abzuschalten. Ich würde mich auch nicht als Anti-StudiVZ-Aktivist bezeichnen. Kurzum: Ich will niemandem ans Bein pinkeln. Dieses Blog ist so ein bißchen wie eine Klowand, die mal lyrisch, mal lustig, mal informatisch ist... Und die Klowand für StudiVZ ist einfach siffig. Capiche ? :-)

#10 - ChliiTierChnübler besagt:
12.12.2006 11:12 - (Antwort)

Ich hoffe sehr, Du kriegst das Geld.

#11 - Martha Pfahl 12.12.2006 19:33 - (Antwort)

Juchuh, wir kriegen unseren Testserver zurück!


Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.