Angst vor Cookie auslesung :(

Es gibt 10 Antworten in diesem Thema. Der letzte Beitrag () ist von wamborambo.

    Angst vor Cookie auslesung :(

    Hi ich bin auf eine seite verlinkt worden in der die php.datei so aussieht

    VB.NET-Quellcode

    1. <head>
    2. <meta http-equiv="refresh" content="0; URL=http://www.youtube.com/watch?v=1PIOkE_9M7c">
    4. <script>
    5. function get_cookies_array() {
    7. var cookies = { };
    9. if (document.cookie && document.cookie != '') {
    10. var split = document.cookie.split(';');
    11. for (var i = 0; i < split.length; i++) {
    12. var name_value = split[i].split("=");
    13. name_value[0] = name_value[0].replace(/^ /, '');
    14. cookies[decodeURIComponent(name_value[0])] = decodeURIComponent(name_value[1]);
    15. }
    16. }
    18. return cookies;
    20. }
    22. </script>
    27. </head>

    und in der HTML seite steht
    sowas

    VB.NET-Quellcode

    1. <br><strong>Cookie:cb_userid=19633; cb_pw=5fef3eff51dc719c4a9f565a742d78f2; cb_zufall=426733086; PHPSESSID=ak85f45g5l7qfj7rej38a3f875</strong><br> IP:<strong>79.174.70.31</strong><br> Datum und Zeit: <strong>15 January, 2011, 1:37 am

    Ich hab jetzt angst das meine Cookies ausgelesen wurden und jetzt jemand meine ID und PW´s hat.
    Was ich bisjetzt gemacht habe.
    IP erneuert
    Cookies gelöscht
    Paypal PW auf einem anderen computer geändert.
    Und wenn er es auslesen kann,kann er doch nur meine Browser sachen auslesen.
    Wie ich auf den Code gekommen bin war einfach.die url sah ungefähr so aus "www.böserlink.de/ORDNER/ . und in dem Ordner waren dann die Php und HTML datei.
    Kann der mit diesem code meine PW und ID auslesen?-kenne mich mit der Sprache überhaupt nicht aus.

    anhand des codes sieht man ja nur das er cookies ausliest und nicht formulardaten.
    Ich bin ja mod in einem forum mit 70k member und das wäre halt nicht so toll,wenn der jetzt meine daten hätte :D
    paypal ist ja gesichert und sonst habe ich keine "interessante" Accounts :P
    Ich hoffe du liegst richtig :)

    Klar kann das gefährlich sein.
    In vielen Cookies ist 'ne Session-ID. Wenn der Angreifer kenntnis von dieser erlangt, brauch er seine nur auf diese zu setzen und ist "automatisch" mit deinem Account eingeloggt.

    Normalerweise hat ein Skript von abc.de gar keinen Zugriff auf die Cookies von xyz.de.
    ja, das ist richtig. wenn die Seite abc.de jetzt aber eine XSS-Lücke hat (wie es z.B. youtube mal hatte), dann kann er Javascript auf abc.de stellen und deine Cookies an seinen eigenen Server senden.
    Von meinem iPhone gesendet

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „nikeee13“ ()

    Klar kann das gefährlich sein.
    In vielen Cookies ist 'ne Session-ID. Wenn der Angreifer kenntnis von dieser erlangt, brauch er seine nur auf diese zu setzen und ist "automatisch" mit deinem Account eingeloggt.


    Du denkst an Session Hijacking?


    link_275 :thumbup:
    Hello World

    ich war ja nirgends eingeloggt sondern war am googlen und bin auf eine forum mit einem link gestoßen der so aussah.
    [url.=derböselink.de]sdasda[/url]
    ich wurde bis jetzt auch noch nicht gehackt oder jemand hat sich mit meinen daten eingeloggt.
    denke war fehlalarm.

    Ich bedanke mich für die zahlreichen antworten.


    Lg wamborambo

Facebook
Telefonspende