Jeremiah Grossman hat ein relativ einfaches Script in seinem Blog integriert, das aber verdammt große Wirkung haben kann: Es handelt sich dabei um XSS (Cross Site Scripting) mit dem es möglich ist, zuletzt besuchte Seiten des Besuchers per Bruteforce herauszufinden.

Die Idee dahinter ist einfach: Wenn ein User auf einer Seite war, dann verfärbt sich der Link in eine vordefinierte Farbe. (Standard ist Violett). Man kann also eine lange Liste mit URLs, die man checken möchte zusammen stellen, und diese in einem versteckten Frame laden lassen. Dann checkt man per JavaScript ob die Linkfarbe Violett ist, und notiert sich diese. Wenn man eine wirklich lange Liste checken will, kann man diese gziped per AJAX bequem nachladen. Man muss nur den Besucher lange genug auf der Seite halten.

Eine weitere, nicht so unethische, Möglichkeit dieses Script zu nutzen findet man bei ha.ckers. Dort ist “Matan” auf die Idee gekommen den Code als Cookie zu verwenden. So lässt sich mit einigem Aufwand ein Besucher trotz extremen Sicherheitsvorrichtungen noch identifizieren.

Veröffentlicht unter WebDev.

Kommentar hinterlassen

benötigt

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>