> Forums > Allgemeines Security Forum

Mastodon: Sicherheitslücke erlaubte den Diebstahl von Anmeldedaten

Erstellt
Nov. '22
letzte Antwort
Noch keine
Antworten
Noch keine
Aufrufe
193
1
„Gefällt mir“
Abos
Noch keine
Do., 17. November, 2022 um 17:48
#1



Der Sicherheitsforscher und Pentester Gareth Heyes fand eine Sicherheitslücke, mit der man Anmeldedaten von Mastodon-Usern auslesen konnte.

Dem Sicherheitsforscher Gareth Heyes gelang es, eine Sicherheitslücke in einem beliebten Client-Server-Fork von infosec.exchange bei Mastodon zu finden. Die HTML-Injection-Schwachstelle ermöglichte es dem Pentester, Anmeldedaten von Usern in Echtzeit auszulesen.

Die Sicherheit der User bei Mastodon hängt stark mit der Wahl einer Mastodon-Instanz zusammen. Eine dieser zurzeit sehr beliebten Instanzen ist infosec.exchange. Der Sicherheitsforscher und Pentester Gareth Heyes hat sich gefragt, wie sicher die Kommunikation der Infosec-Community auf Mastodon ist und fand tatsächlich eine Sicherheitslücke.

HTML-Code beim Versenden von Nachrichten nutzen dürfen, was kann da schon schiefgehen


... stellt Heyes in seinem Blogbeitrag fest. Und er sollte recht behalten. Mit Hilfe von erfolgreicher HTML Injection und nach einigem Ausprobieren gelang es ihm, den Code entsprechend zu manipulieren.







C&M News: https://ress.at/-news17112022174830.html

> Forums > Allgemeines Security Forum

Du hast bereits für diesen Post abgestimmt...

;-)



Logo https://t.ress.at/3T43G/


Ähnliche Themen:











Top