albedo hat geschrieben:Zwischenfrage, lässt sich aus einem Script innerhalb einer html Seite heraus eine Attacke starten?
Wäre das nicht zu simpel wer sich sich damit auskennt?
Gruß, Albedo
Dazu musst du das Skript ja erst mal auf einer Seite plazieren. Ein Angreifer wird eher selten eine eigene Seite mit Schadcode betreiben. Die wird anderen Servern als Kuckucksei untergeschoben.
Das lässt sich z.B. mit einer schlecht gesicherten Suchfunktion machen. Mit speziellen Zeichen kommt man da bis auf die Datenbank durch und führt dort eine eigene Operation durch. So wird zum Beispiel ein Angriffs-Framework in der Datenbank platziert, die dann unsichtbar in der Website versteckt ist. Meistens ein unsichtbarer Inline-Frame, über den weiterer Code nachgeladen wird. Dieses Framework probiert alle Sicherheitslücken des Browsers durch, über JavaScript, Flash, Java usw. Irgendwas finden die schon, wenn man seine Updates verschläft.
Also, ja, das Script ist in einer html-Seite, aber meistens ohne Wissen des Seitenbetreibers.
Und simpel ist das nicht, aber es gibt dafür Werkzeuge und Leute die wissen was man damit macht und die für Geld alles machen.