Alex' blog

Oben: FF2
Unten: FF3

Leider funktioniert die Extension mit Firefox 3 nicht mehr.
Eine kurze Analyse hat gezeigt, dass der neue Zwang zur Angabe eines Charsets im Header für einen XMLHttpRequest (XHR) für Probleme seitens der Fritz!Box sorgt. Diese kann mit dem charset=... nichts anfangen und verweigert ihren Dienst.

Selbst wenn man explizit keine charset-Angabe in der Methode requestHeader() macht, so wie es die Extension auch tut, setzt Firefox 3 nun standardmässig das Charset rein (auf UTF-8).

Hat irgendjemand eine Idee, wie man Firefox 3 von diesem Zwang befreien kann ?

Das Advisory zur Schwachstelle gibt es hier.

Um es kurz zu machen: es gibt bereits ein Update, welches dringendst eingespielt werden sollte, sofern man das Freetag-Plugin integriert hat !
(Der aktuelle XSS-Vektor ist auf IE 6, IE 7 und Netscape Navigator 8.1 (im IE-Rendering Mode) ausgelegt.)
Ein Eintrag von Garvin Hicking befindet sich dazu hier.

Im Gegensatz zu meinen sonst rein deutschsprachigen Beiträgen hier im Blog, ist das Advisory selbstverständlich in englischer Sprache gehalten ! Es ist momentan aber noch nicht online, da es eigentlich erst für morgen geplant war.

Update: Advisory ist nun online. / Advisory is now online.
Mit einem entsprechenden Google Dork lassen sich leicht unzählige verwundbare Webseiten finden. Dieser Google Dork wird zur Sicherheit allerdings nicht veröffentlicht werden.

Update 2: CVE-Candidate: CVE-2008-0751.

Das nächste, was ich entdeckt habe, ist, dass Firefox-Benutzer, die die Extension "FasterFox" installiert haben, um sich mittels Prefetching von statischen Webseiten einen Geschwindigkeitsvorteil zu sichern, leichter bei XSA-Angriffen über das Ohr gehauen werden können, als Firefox-Benutzer, die auf "FasterFox" verzichten.

Um in beispielsweise einem Forum jemanden mittels Phishing über das Ohr zu hauen, verwendet man sonst üblicherweise HTML oder BBCode, um ein (nicht existentes) Bild in den eigenen Beitrag einzubinden. Das Verzeichnis, wo das (nicht existente) Bild liegt, wird zudem mit HTTP-Auth abgesichert.

Falls nun in einem Forum zur Absicherung HTML-Quellcode bzw. BBCode zur Einbettung von Grafiken deaktiviert wurde, ist dieser Angriff nicht möglich. Wer jedoch die Extension "FasterFox" installiert hat, der kann hier dennoch Opfer eines Phishing-Angriffs werden.

Wenn der Angreifer in dem Forum Links direkt eingeben kann (z.B. über BBCode) oder reiner Text auf gültige URLs automatisch geparst wird, der bekommt diese Links dank besagter Extension im Voraus geladen. Die Folge davon ist, dass sich nur beim Besuch einer solchen Webseite mit einem Link auf einen Bereich, geschützt durch HTTP-Auth, im Firefox der übliche HTTP-Auth Dialog erscheint und um Eingabe der Logindaten bittet.

Wer dies mit installierter "FasterFox"-Extension ausprobieren möchte, der klickt bitte einmal hier: http://ha.ckers.org/blog/20070608/cross-domain-basic-auth-phishing-tactics/
(Dies funktioniert ebenfalls nur für kurze Zeit, da ich bald die .htaccess-Datei von testing.bitsploit.de wieder entfernen werde.)

Update: RSnake fand es auch eine Erwähnung wert.

Jedoch kann man dieses Tool auch etwas zweckentfremden und Injection-Zeichenketten (SQL, JavaScript, etc.) abspeichern. So fällt das lästige Copy & Paste aus den eigenen Cheatsheets weg.

Meinen Blog-Eintrag "Hacken von Web-Applikationen mit Firefox-Extensions" habe ich dazu passend aktualisiert.

Zur Installation einfach HIER klicken.

Update: Das führende "CVE-" ist optional und muss somit zur Suche nicht zwingend angegeben werden.

Der Referrer (korrektes Englisch) bzw. Referer (falsches Englisch, aber stark verbreitet auf Grund eines Schreibfehlers im RFC 2068) kann über einen (momentan noch sehr hässlichen) Button, der frei in der Navigationsleiste platzierbar ist, nach Belieben ein- und ausgeschalten werden. So braucht man nicht immer umständlich mittels "about:config" den Referrer verändern.

Die Projektseite mit dem Download und einigen Erklärungen befindet sich hier: http://quickreferrer.projects.bitsploit.de

Updates to come ...

"Auto Copy" funktioniert hier bis einschließlich Mozilla Thunderbird-Version 2.0.0.5 ohne Probleme.
Diese Extension anzupassen ist besonders leicht, da man dazu eigentlich fast nichts machen muss. Man muss nur die XPI-Datei speichern, mit irgendeinem Programm, welches das ZIP-Format beherrscht, entpacken und dann die Datei install.rdf in einen Editor freier Wahl laden. Dort sucht man den Eintrag für Thunderbird (weit unten) und ändert die maximale Versionsnummer von 1.6a o.ä. auf z.B. 2.0.0.5. (Platzhalter mit * funktioniert bei mir irgendwie nicht). Abspeichern und schön wieder zusammenpacken. Nun installieren und "Auto Copy" funktioniert wieder wie früher. Wer die besagte Extension bereits installiert hat, der muss nur noch die install.rdf modifizieren.

Das es so viele Anfragen geben wird, hätte ich auch nicht gedacht. Jetzt wäre es eigentlich zeitsparender für mich und alle Fragenden gewesen, wenn ich die Lizenz damals doch schon durchgelesen und dann gegebenenfalls die modifizierte Version direkt zum Download angeboten hätte ... vielleicht sollte ich mir jetzt doch einmal die Mühe machen und die Lizenz lesen, so dass vielleicht in Zukunft die von mir modifizierten Versionen hier angeboten werden können.