# ebay mit JavaScript hacken



## stev.glasow (23. Dez 2004)

Hat jemand von euch gestern Stern TV gesehen? Dort wurde Live das Passwort eines fremden Benutzernamens  ermittelt sobald er für irgendeinen Artikel geboten hat. Find's zwar schon eigenartig, das das PW überhaupt unverschlüsselt irgendwo auf nem ebay-server liegt, aber wie die das mit JavaScript gehackt haben ist mir absolut unerklärlich.   ???:L 
Oder meinen die nicht JavaScript in einer HTML Seite? Jemand ne Idee?


----------



## DP (23. Dez 2004)

das haben die schon vor 2 wochen beim jauch gemacht - haste ne aufzeichnung gesehen?


----------



## stev.glasow (23. Dez 2004)

DP hat gesagt.:
			
		

> das haben die schon vor 2 wochen beim jauch gemacht - haste ne aufzeichnung gesehen?


Ne  :bae:  die haben das nochmal gemacht, weil vor 2 Wochen der gehackte Account sofort von einer Überwachungssoftware gesperrt wurde. Oder so ähnlich - hab das auch nur nebenbei angehabt.


----------



## foobar (23. Dez 2004)

Das ist doch ganz einfach. Man muß einfach in die Seite ein JavaScrit einfügen, daß beim Absenden des Formulars auf die beiden Felder Benutzername und Passwort zugreift und diese dann an eine andere URL sendet. Das ist alles nur Möglich, weil Ebay ungefiltertes JavaScript zulässt. Anscheinend ist es ihnen wichtiger, daß die Seite schön bunt ist, anstatt sich Gedanken zu machen über die Sicherheit.


----------



## stev.glasow (23. Dez 2004)

foobar hat gesagt.:
			
		

> Das ist doch ganz einfach. Man muß einfach in die Seite ein JavaScrit einfügen, daß beim Absenden des Formulars auf die beiden Felder Benutzername und Passwort zugreift und diese dann an eine andere URL sendet. Das ist alles nur Möglich, weil Ebay ungefiltertes JavaScript zulässt. Anscheinend ist es ihnen wichtiger, daß die Seite schön bunt ist, anstatt sich Gedanken zu machen über die Sicherheit.


In wie fern "einfach in die Seite ein JavaScrit einfügen" ? welche Seite meinst du?

Ich hatte ja den Gedanken das ebay das pw so wie es ist als Cookie speichert, der dann mit nem kleinen Script , welches  in der Artikelbeschreibung versteckt ist, ausgelesen wird. Nur hat die Testperson auf irgendweinen Artikel geboten und nicht auf einen den der Hacker reingestellt hat.


----------



## foobar (23. Dez 2004)

> In wie fern "einfach in die Seite ein JavaScrit einfügen" ? welche Seite meinst du?


Ich meine die Gebotsseite.

Ok, noch mal etwas ausführlicher:
Jemand erstellt eine Gebotsseite in die er ein JavaScript einfügt, daß auf die aktuelle Htmlseite zugreift und das Passwort und den Benutzernamen aus dem Formular ausliest. Das bedeutet jeder der an dieser Auktion teilnimmt bekommt diese Htmlseite mit dem pathologischen JavaScript, und sendet sein Passwort und den Benutzernamen an eine andere URL.
Dadurch daß man beliebiges JavaScript in die Auktionseiten einfügen kann ist man in der Lage die komplette Seite zu manipulieren. Es wäre auch möglich falsche Gebote abzugeben oder ähnliches.


----------



## Student (23. Dez 2004)

jupp. und genau da hakt auch mein verständnis. wie kann ich denn auf daten zugreifen .. die ich gar nicht antasten kann .. also .. irgendwie so .. :roll:


----------



## foobar (23. Dez 2004)

> jupp. und genau da hakt auch mein verständnis. wie kann ich denn auf daten zugreifen .. die ich gar nicht antasten kann .. also .. irgendwie so ..


Das läuft doch alles rein *clientseitig* ab, das ist doch der Witz bei der Sache. Bevor die Anmeldedaten bei Ebay landen wurden sie schon andersweitig weitergeleitet.


----------



## dotlens (23. Dez 2004)

http://www.heise.de/security/news/meldung/54272


----------



## Student (23. Dez 2004)

is mir klar, dass JS clientseitig läuft. das musste mir nicht erzählen :roll:
aber ich verstehe nicht ganz, wie ich per JS auf diese daten zugreifen kann.

verstehst du wo mein verständnisproblem liegt?


----------



## stev.glasow (23. Dez 2004)

dotlens hat gesagt.:
			
		

> http://www.heise.de/security/news/meldung/54272


OK, danke. Also mit ner gefälschten Anmeldeseite.


----------



## foobar (23. Dez 2004)

> OK, danke. Also mit ner gefälschten Anmeldeseite.


Das ist eine Möglichkeit. Es geht aber auch ohne redirect.


----------



## stev.glasow (23. Dez 2004)

Jo.

Hier wird etwa anders betrogen, http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&category=65717&item=3862237965&rd=1
Es wird einem vorgegaukelt dass man bei dem Weihnachtsgewinnspiel gewonnen hat. Das PayPal Formular hat aber nicht's mit ebay zu tun, das ist ne Fakeseite.


----------



## Student (23. Dez 2004)

ungültiger artikel .. *mist*


----------



## stev.glasow (23. Dez 2004)

Hm, nagut. Aber ne Stunde war das bestimmt online.  Und mit einigen Paypad-Accounts kann man schon was anfangen.


----------



## Michael2 (23. Dez 2004)

Funktioniert hier im Forum auch JavaScript, wenn ich das poste?  :bae:


----------



## stev.glasow (23. Dez 2004)

<script>alert('nein');</script>


----------



## Gast (18. Jan 2005)

Wow. Das sind wirklich viele Möglichkeiten die man hat. Wozu als gelernter Programmierer noch arbeiten . Die Welt gehört ihnen sowieso.


----------



## stev.glasow (18. Jan 2005)

naja, nur sind einige Polizisten nicht so doof wie man denkt.


----------



## KSG9|sebastian (18. Jan 2005)

> Wow. Das sind wirklich viele Möglichkeiten die man hat. Wozu als gelernter Programmierer noch arbeiten . Die Welt gehört ihnen sowieso.



Programmierer? Ein Blick in selfhtml dann weiß man wie man per JavaScript auf ne andere Seite weiterleitet, dann kopiert man sich noch ne ebay gebotsseite mit irgendnem blöden programm, wovon es tausende gibt, und fertig ist der hack^^


----------



## stev.glasow (18. Jan 2005)

klar doch, und wieso ist erst spät jemand drauf gekommen?


----------

