Für Trolle: Fake-URL mit JavaScript und HTML5 übertragen
Kommentare

Mit einem Right-To-Left-Override und der in HTML5 enthaltenen JavaScript-Funktion history.replaceState() konnte John Kurlak den aktuellen Browsern vorgaukeln, dass sich der Benutzer auf einer anderen URL

Mit einem Right-To-Left-Override und der in HTML5 enthaltenen JavaScript-Funktion history.replaceState() konnte John Kurlak den aktuellen Browsern vorgaukeln, dass sich der Benutzer auf einer anderen URL befindet. Auf diese Art wird Source Code Spoofing möglich, was er anhand dieses Beispiels demonstriert.

Die history.replaceState()-Funktion ist allerdings nicht in der Lage, den Host-Namen der URL zu verändern. Daher kann Kurlak zwar vorgaukeln lassen, man bekommt katze.html angezeigt, obwohl man hund.html ansteuert, jedoch wird dann der Code von katze.html angezeigt, bzw. es wird probiert. Das ist dem Hacker nicht gut genug. Er will, dass es weiterhin so aussieht, als befinde man sich auf hund.html und dass der Code der Fake-Seite angezeigt wird.

Dies wird möglich, indem er das Right-To-Left-Override-Zeichen (RTO) über den Dezimal-Wert 8238 einsetzt und die history.replaceState() mit der rückwärts geschriebenen URL, also lmth.dnuh, füttert. Im Quellcode hat er dann gesehen, dass die Fake-URL als „‮lmth.dnuh“ angezeigt wird, da ‮ die ASCII-Variante des RTO-Charakters ist. Ergo hat er eine Seite erstellt, die ‮lmth.dnuh heißt und sie mit Fake-Quellcode gefüllt.

Leider escapen manche Browser diesen Hack, sodass die Fake-URL sichtbar wird und kluge Besucher den Schwindel aufdecken. Weitere Schwierigkeiten mit dem Spoof erläutert John Kurlak auf TheHackerNews.com.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -