Fritz!BoxDial Wählhilfe und Firefox 3

07 07 2008 13:55
Oben: FF2 Unten: FF3
Für die Firefox-Versionen 1.5 und 2.0 gibt es für Besitzer der Fritz!Box eine nette Extension namens Fritz!BoxDial, die Ähnlichkeiten zur Extension von Skype aufweist. Wenn man eine Telefonnummer auf einer Webseite markiert, kann man im Kontextmenü einen Anruf über die Fritz!Box veranlassen und auf dem normalen Telefon telefonieren. Man muss also die Nummer nicht erst abtippen.

Leider funktioniert die Extension mit Firefox 3 nicht mehr.
Eine kurze Analyse hat gezeigt, dass der neue Zwang zur Angabe eines Charsets im Header für einen XMLHttpRequest (XHR) für Probleme seitens der Fritz!Box sorgt. Diese kann mit dem charset=... nichts anfangen und verweigert ihren Dienst.

Selbst wenn man explizit keine charset-Angabe in der Methode requestHeader() macht, so wie es die Extension auch tut, setzt Firefox 3 nun standardmässig das Charset rein (auf UTF-8).

Hat irgendjemand eine Idee, wie man Firefox 3 von diesem Zwang befreien kann ?


Twitter Bookmark Fritz!BoxDial Wählhilfe und Firefox 3  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Fritz!BoxDial Wählhilfe und Firefox 3 Mixx Fritz!BoxDial Wählhilfe und Firefox 3 Bloglines Fritz!BoxDial Wählhilfe und Firefox 3 Technorati Fritz!BoxDial Wählhilfe und Firefox 3 Fark this: Fritz!BoxDial Wählhilfe und Firefox 3 Bookmark Fritz!BoxDial Wählhilfe und Firefox 3  at YahooMyWeb Bookmark Fritz!BoxDial Wählhilfe und Firefox 3  at Furl.net Bookmark Fritz!BoxDial Wählhilfe und Firefox 3  at reddit.com Bookmark Fritz!BoxDial Wählhilfe und Firefox 3  at blinklist.com Bookmark Fritz!BoxDial Wählhilfe und Firefox 3  at Spurl.net Bookmark Fritz!BoxDial Wählhilfe und Firefox 3  at NewsVine Bookmark Fritz!BoxDial Wählhilfe und Firefox 3  at Simpy.com Bookmark Fritz!BoxDial Wählhilfe und Firefox 3  at blogmarks Bookmark Fritz!BoxDial Wählhilfe und Firefox 3  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

XSS-Schwachstelle in Serendpity-Plugin Freetag

07 02 2008 20:30
Ich habe vor ein paar Tagen eine Cross Site Scripting (XSS) Schwachstelle in einem sehr beliebten Plugin für die Weblog-Software "Serendipity" namens "Freetag" gefunden.

Das Advisory zur Schwachstelle gibt es hier.

Um es kurz zu machen: es gibt bereits ein Update, welches dringendst eingespielt werden sollte, sofern man das Freetag-Plugin integriert hat !
(Der aktuelle XSS-Vektor ist auf IE 6, IE 7 und Netscape Navigator 8.1 (im IE-Rendering Mode) ausgelegt.)
Ein Eintrag von Garvin Hicking befindet sich dazu hier.

Im Gegensatz zu meinen sonst rein deutschsprachigen Beiträgen hier im Blog, ist das Advisory selbstverständlich in englischer Sprache gehalten ! Es ist momentan aber noch nicht online, da es eigentlich erst für morgen geplant war.

Update: Advisory ist nun online. / Advisory is now online.
Mit einem entsprechenden Google Dork lassen sich leicht unzählige verwundbare Webseiten finden. Dieser Google Dork wird zur Sicherheit allerdings nicht veröffentlicht werden.

Update 2: CVE-Candidate: CVE-2008-0751.


Twitter Bookmark XSS-Schwachstelle in Serendpity-Plugin Freetag  at del.icio.us Facebook Google Bookmarks FriendFeed Digg XSS-Schwachstelle in Serendpity-Plugin Freetag Mixx XSS-Schwachstelle in Serendpity-Plugin Freetag Bloglines XSS-Schwachstelle in Serendpity-Plugin Freetag Technorati XSS-Schwachstelle in Serendpity-Plugin Freetag Fark this: XSS-Schwachstelle in Serendpity-Plugin Freetag Bookmark XSS-Schwachstelle in Serendpity-Plugin Freetag  at YahooMyWeb Bookmark XSS-Schwachstelle in Serendpity-Plugin Freetag  at Furl.net Bookmark XSS-Schwachstelle in Serendpity-Plugin Freetag  at reddit.com Bookmark XSS-Schwachstelle in Serendpity-Plugin Freetag  at blinklist.com Bookmark XSS-Schwachstelle in Serendpity-Plugin Freetag  at Spurl.net Bookmark XSS-Schwachstelle in Serendpity-Plugin Freetag  at NewsVine Bookmark XSS-Schwachstelle in Serendpity-Plugin Freetag  at Simpy.com Bookmark XSS-Schwachstelle in Serendpity-Plugin Freetag  at blogmarks Bookmark XSS-Schwachstelle in Serendpity-Plugin Freetag  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Cross Domain Basic Auth Phishing Tactics 3.0

03 01 2008 15:25
Heute häuft es sich ja richtig mit den Einträgen zur Unsicherheit von Webbrowsern ...

Das nächste, was ich entdeckt habe, ist, dass Firefox-Benutzer, die die Extension "FasterFox" installiert haben, um sich mittels Prefetching von statischen Webseiten einen Geschwindigkeitsvorteil zu sichern, leichter bei XSA-Angriffen über das Ohr gehauen werden können, als Firefox-Benutzer, die auf "FasterFox" verzichten.

Um in beispielsweise einem Forum jemanden mittels Phishing über das Ohr zu hauen, verwendet man sonst üblicherweise HTML oder BBCode, um ein (nicht existentes) Bild in den eigenen Beitrag einzubinden. Das Verzeichnis, wo das (nicht existente) Bild liegt, wird zudem mit HTTP-Auth abgesichert.

Falls nun in einem Forum zur Absicherung HTML-Quellcode bzw. BBCode zur Einbettung von Grafiken deaktiviert wurde, ist dieser Angriff nicht möglich. Wer jedoch die Extension "FasterFox" installiert hat, der kann hier dennoch Opfer eines Phishing-Angriffs werden.

Wenn der Angreifer in dem Forum Links direkt eingeben kann (z.B. über BBCode) oder reiner Text auf gültige URLs automatisch geparst wird, der bekommt diese Links dank besagter Extension im Voraus geladen. Die Folge davon ist, dass sich nur beim Besuch einer solchen Webseite mit einem Link auf einen Bereich, geschützt durch HTTP-Auth, im Firefox der übliche HTTP-Auth Dialog erscheint und um Eingabe der Logindaten bittet.

Wer dies mit installierter "FasterFox"-Extension ausprobieren möchte, der klickt bitte einmal hier: http://ha.ckers.org/blog/20070608/cross-domain-basic-auth-phishing-tactics/
(Dies funktioniert ebenfalls nur für kurze Zeit, da ich bald die .htaccess-Datei von testing.bitsploit.de wieder entfernen werde.)

Update: RSnake fand es auch eine Erwähnung wert.


Twitter Bookmark Cross Domain Basic Auth Phishing Tactics 3.0  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Cross Domain Basic Auth Phishing Tactics 3.0 Mixx Cross Domain Basic Auth Phishing Tactics 3.0 Bloglines Cross Domain Basic Auth Phishing Tactics 3.0 Technorati Cross Domain Basic Auth Phishing Tactics 3.0 Fark this: Cross Domain Basic Auth Phishing Tactics 3.0 Bookmark Cross Domain Basic Auth Phishing Tactics 3.0  at YahooMyWeb Bookmark Cross Domain Basic Auth Phishing Tactics 3.0  at Furl.net Bookmark Cross Domain Basic Auth Phishing Tactics 3.0  at reddit.com Bookmark Cross Domain Basic Auth Phishing Tactics 3.0  at blinklist.com Bookmark Cross Domain Basic Auth Phishing Tactics 3.0  at Spurl.net Bookmark Cross Domain Basic Auth Phishing Tactics 3.0  at NewsVine Bookmark Cross Domain Basic Auth Phishing Tactics 3.0  at Simpy.com Bookmark Cross Domain Basic Auth Phishing Tactics 3.0  at blogmarks Bookmark Cross Domain Basic Auth Phishing Tactics 3.0  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Firefox-Extension: InFormEnter

11 12 2007 23:36
Eben bin ich über die Firefox-Extension "InFormEnter" gestolpert, welche eigentlich die Aufgabe hat vordefinierte Zeichenketten per Mausklick in jedes Formularfeld einfügen zu können. Dazu befindet sich neben jedem Feld ein Symbol über dieses dann die gewünschte Zeichenkette eingefügt werden kann. So lässt sich bequem die eigene Adresse oder Telefonnummer mittels Mausklick einfügen.

Jedoch kann man dieses Tool auch etwas zweckentfremden und Injection-Zeichenketten (SQL, JavaScript, etc.) abspeichern. So fällt das lästige Copy & Paste aus den eigenen Cheatsheets weg.

Meinen Blog-Eintrag "Hacken von Web-Applikationen mit Firefox-Extensions" habe ich dazu passend aktualisiert.


Twitter Bookmark Firefox-Extension: InFormEnter  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Firefox-Extension: InFormEnter Mixx Firefox-Extension: InFormEnter Bloglines Firefox-Extension: InFormEnter Technorati Firefox-Extension: InFormEnter Fark this: Firefox-Extension: InFormEnter Bookmark Firefox-Extension: InFormEnter  at YahooMyWeb Bookmark Firefox-Extension: InFormEnter  at Furl.net Bookmark Firefox-Extension: InFormEnter  at reddit.com Bookmark Firefox-Extension: InFormEnter  at blinklist.com Bookmark Firefox-Extension: InFormEnter  at Spurl.net Bookmark Firefox-Extension: InFormEnter  at NewsVine Bookmark Firefox-Extension: InFormEnter  at Simpy.com Bookmark Firefox-Extension: InFormEnter  at blogmarks Bookmark Firefox-Extension: InFormEnter  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

CVE Extension für Firefox 2 und Internet Explorer 7

19 10 2007 01:00
Eben habe ich festgestellt, dass ich gar keine Such-Engine für CVEs im Browser integriert habe. Auf die Schnelle habe ich bei Google auch noch keine Engine im OpenSearch-Standard gefunden, so dass ich mal wieder meine eigene Extension für Firefox 2 und IE 7 geschrieben habe.

Zur Installation einfach HIER klicken.

Update: Das führende "CVE-" ist optional und muss somit zur Suche nicht zwingend angegeben werden.


Twitter Bookmark CVE Extension für Firefox 2 und Internet Explorer 7  at del.icio.us Facebook Google Bookmarks FriendFeed Digg CVE Extension für Firefox 2 und Internet Explorer 7 Mixx CVE Extension für Firefox 2 und Internet Explorer 7 Bloglines CVE Extension für Firefox 2 und Internet Explorer 7 Technorati CVE Extension für Firefox 2 und Internet Explorer 7 Fark this: CVE Extension für Firefox 2 und Internet Explorer 7 Bookmark CVE Extension für Firefox 2 und Internet Explorer 7  at YahooMyWeb Bookmark CVE Extension für Firefox 2 und Internet Explorer 7  at Furl.net Bookmark CVE Extension für Firefox 2 und Internet Explorer 7  at reddit.com Bookmark CVE Extension für Firefox 2 und Internet Explorer 7  at blinklist.com Bookmark CVE Extension für Firefox 2 und Internet Explorer 7  at Spurl.net Bookmark CVE Extension für Firefox 2 und Internet Explorer 7  at NewsVine Bookmark CVE Extension für Firefox 2 und Internet Explorer 7  at Simpy.com Bookmark CVE Extension für Firefox 2 und Internet Explorer 7  at blogmarks Bookmark CVE Extension für Firefox 2 und Internet Explorer 7  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

QuickReferrer Extension für Firefox 2.x

13 08 2007 00:19
Ich habe eine kleine Extension für den Firefox 2.x von Mozilla zusammengebastelt, welche das schnelle Ein- und Ausschalten der Übertragung des Referrers per Mausklick erlaubt.

Der Referrer (korrektes Englisch) bzw. Referer (falsches Englisch, aber stark verbreitet auf Grund eines Schreibfehlers im RFC 2068) kann über einen (momentan noch sehr hässlichen) Button, der frei in der Navigationsleiste platzierbar ist, nach Belieben ein- und ausgeschalten werden. So braucht man nicht immer umständlich mittels "about:config" den Referrer verändern.

Die Projektseite mit dem Download und einigen Erklärungen befindet sich hier: http://quickreferrer.projects.bitsploit.de

Updates to come ... ;-)


Twitter Bookmark QuickReferrer Extension für Firefox 2.x  at del.icio.us Facebook Google Bookmarks FriendFeed Digg QuickReferrer Extension für Firefox 2.x Mixx QuickReferrer Extension für Firefox 2.x Bloglines QuickReferrer Extension für Firefox 2.x Technorati QuickReferrer Extension für Firefox 2.x Fark this: QuickReferrer Extension für Firefox 2.x Bookmark QuickReferrer Extension für Firefox 2.x  at YahooMyWeb Bookmark QuickReferrer Extension für Firefox 2.x  at Furl.net Bookmark QuickReferrer Extension für Firefox 2.x  at reddit.com Bookmark QuickReferrer Extension für Firefox 2.x  at blinklist.com Bookmark QuickReferrer Extension für Firefox 2.x  at Spurl.net Bookmark QuickReferrer Extension für Firefox 2.x  at NewsVine Bookmark QuickReferrer Extension für Firefox 2.x  at Simpy.com Bookmark QuickReferrer Extension für Firefox 2.x  at blogmarks Bookmark QuickReferrer Extension für Firefox 2.x  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Extensions für Mozilla Thunderbird 2.0.0.5 fit machen

21 07 2007 15:23
Nachdem mein Beitrag "Extensions für Mozilla Thunderbird 2.0.0.0 fit machen" so reißenden Anklang gefunden hat - nicht nur über Kommentare, sondern vermehrt als Anfrage per E-Mail - hier nun ein Kommentar zu der am gefragtesten Extension überhaupt: "Auto Copy".

"Auto Copy" funktioniert hier bis einschließlich Mozilla Thunderbird-Version 2.0.0.5 ohne Probleme.
Diese Extension anzupassen ist besonders leicht, da man dazu eigentlich fast nichts machen muss. Man muss nur die XPI-Datei speichern, mit irgendeinem Programm, welches das ZIP-Format beherrscht, entpacken und dann die Datei install.rdf in einen Editor freier Wahl laden. Dort sucht man den Eintrag für Thunderbird (weit unten) und ändert die maximale Versionsnummer von 1.6a o.ä. auf z.B. 2.0.0.5. (Platzhalter mit * funktioniert bei mir irgendwie nicht). Abspeichern und schön wieder zusammenpacken. Nun installieren und "Auto Copy" funktioniert wieder wie früher. Wer die besagte Extension bereits installiert hat, der muss nur noch die install.rdf modifizieren.

Das es so viele Anfragen geben wird, hätte ich auch nicht gedacht. Jetzt wäre es eigentlich zeitsparender für mich und alle Fragenden gewesen, wenn ich die Lizenz damals doch schon durchgelesen und dann gegebenenfalls die modifizierte Version direkt zum Download angeboten hätte ... vielleicht sollte ich mir jetzt doch einmal die Mühe machen und die Lizenz lesen, so dass vielleicht in Zukunft die von mir modifizierten Versionen hier angeboten werden können.


Twitter Bookmark Extensions für Mozilla Thunderbird 2.0.0.5 fit machen  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Extensions für Mozilla Thunderbird 2.0.0.5 fit machen Mixx Extensions für Mozilla Thunderbird 2.0.0.5 fit machen Bloglines Extensions für Mozilla Thunderbird 2.0.0.5 fit machen Technorati Extensions für Mozilla Thunderbird 2.0.0.5 fit machen Fark this: Extensions für Mozilla Thunderbird 2.0.0.5 fit machen Bookmark Extensions für Mozilla Thunderbird 2.0.0.5 fit machen  at YahooMyWeb Bookmark Extensions für Mozilla Thunderbird 2.0.0.5 fit machen  at Furl.net Bookmark Extensions für Mozilla Thunderbird 2.0.0.5 fit machen  at reddit.com Bookmark Extensions für Mozilla Thunderbird 2.0.0.5 fit machen  at blinklist.com Bookmark Extensions für Mozilla Thunderbird 2.0.0.5 fit machen  at Spurl.net Bookmark Extensions für Mozilla Thunderbird 2.0.0.5 fit machen  at NewsVine Bookmark Extensions für Mozilla Thunderbird 2.0.0.5 fit machen  at Simpy.com Bookmark Extensions für Mozilla Thunderbird 2.0.0.5 fit machen  at blogmarks Bookmark Extensions für Mozilla Thunderbird 2.0.0.5 fit machen  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca