2. Januar 2016 0 Kommentare TechnikAllgemein

XSS-Lücke bei HabboST Fanseite HabboWired

Habbo Fanseiten werden von aktiven Spielern des Habbo Hotels erstellt und gegründet. Das HabboDE hat viele Fanseiten: so beispielsweise HabboNews, HabboAura oder HabboWert. Auch die meisten großen Retro Hotels profitieren inzwischen von eigenen Retro Fanseiten. Das Holo Hotel hat beispielsweise HoloWert, das HuBBa Hotel iHubba und YouHubba und offizielle Fanseiten gibt es auch bei HabboST: HabboPreis oder HabboWired.eu beispielsweise. Letztere wurde gestern Opfer einer ausgenutzten XSS-Lücke.

HabboWired gilt als seriöse Fanseite des HabboST und bietet hauptsächlich News, Events und Interviews aus dem HabboST. Offenbar hat ein User eine Sicherheitslücke entdeckt, die er dazu verwenden konnte, um die Fanseite temporär auf eine andere Seite umzuleiten. Nach der Registrierung auf HabboWired wird der neuste Benutzer mitsamt seines zuvor eingestellten Mottos nämlich auf der Startseite angezeigt. Der Nutzer namens »David« hat sich einer XSS-Lücke bedient und die Fanseite mittels eingebundenem HTML-Weiterleitungstag zunächst auf HoloWert.de geleitet. Bei HoloWert handelt es sich um eine Preisliste für das Holo Hotel von Nathural. Ironischer Weise heißt der dortige Techniker, Revue, mit Echtnamen ebenfalls David. Ungeklärt ist, ob hierzu ein Zusammenhang besteht.

HabboWired hat zunächst mehrere Stunden nicht reagiert. Nach einigen Stunden wurde die Umleitung dann auf eine pornographische Seite umgeändert. Erst gegen Abend wurde die Lücke geschlossen, ein Statement blieb aus. Fanseiten dienen in erster Linie der Unterhaltung der Habbos. Normalerweise erhält nicht gleich jede Fanseite den Status “offiziell“. In der Regel muss die Fanseite sich hierfür bewerben und eine Qualitätskontrolle bestehen. Ähnliche Lücken gab es allerdings auch bei offiziellen Fanseiten des HabboDE. So wurde zum Beispiel erst vor wenigen Monaten die offizielle Fanseite HabboLando mit mehreren hundert betroffenen User Accounts gehackt. Die Angreifer nutzten Usernamen und Passwörter der entwendeten Fanseiten Datenbank, um sich in das HabboDE einzuloggen und Möbel der User dort zu stehlen.

Ein solches Szenario blieb im HabboST jedoch aus, allerdings nur, weil es sich um eine eher harmlose XSS-Lücke gehandelt hat, die jedoch, wenn man zu spät oder gar nicht reagiert, dem Image des Projekts heftig schaden kann.

Like
Like Love Haha Wow Sad Angry

Hinterlasse einen Kommentar

avatar
 
smilegrinwinkmrgreenneutraltwistedarrowshockunamusedcooleviloopsrazzrollcryeeklolmadsadexclamationquestionideahmmbegwhewchucklesillyenvyshutmouth
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types