Exklusiv: Neue Sicherheitslücke im StudiVZ

Das StudiVZ ist schon in der Vergangenheit nicht gerade als ein Hort der strikten Datensicherheit aufgefallen. Die offenbar mit heißer Nadel gestrickte PHP-Software fiel immer wieder durch eklatante Fehler auf, durch die es teilweise möglich war, sensible und eigentlich geschützt Daten aufzurufen. Nun wurde mir ein neues Sicherheitsloch zugespielt, über das ich exklusiv auf diesem Blog berichten möchte. Es ist sicher weniger spektakulär als vorangegangene Sicherheitslücken aber trotzdem für einigen Schabernack geeignet.

Es geht um folgendes: Im StudiVZ kann jeder ihm bekannte Personen auf Fotos verlinken. Von dieser Möglichkeit wird auch reger Gebrauch gemacht. Wie ein Freund von mir nun feststellte, ist es möglich mittels des Firefox-Plugins Web Developer, den Wert, wer ein bestimmtes Foto mit wem verlinkt hat, beim Setzen des Links zu manipulieren. Mit Hilfe des Web Developer-Tools ist es also möglich, Fotos zu verlinken und dabei so zu tun, als hätte jemand anderes das entsprechende Foto mit einer bestimmten Person verlinkt.

Hier die konkrete Anleitung, wie das im einzelnen funktioniert: Wenn ihr mit dem Firefox samt installiertem Web Developer-Plugin startet, ruft ihr das Foto auf, das ihr unter einem anderen Namen verlinken wollt. Nun kann über das Firefox-Menü Extras -> Web Developer -> Forms -> Display Form Details aufgerufen werden. Jetzt klickt ihr in das Bild, um einen Link zu setzen.

Thumbnail?studivz
(zum Vergrößern auf das Bild klicken)

Ihr seht ja das kleine Fenster in der Mitte. Unter “input id=”person” name=”person”>” steht eine ID. Diese ID ist standardmäßig Eure. Wenn Ihr jedoch einfach dort die ID eines anderen eintragt, wird diese Person als der Verlinker angezeigt. Wen man hingegen verlinken möchte, wählt man einfach per Klick auf den Namen aus der Liste aus. Ich habe noch nicht ausprobiert, ob man auf diese Weise sogar Leute verlinken kann, mit denen man nicht befreundet ist.

Update: Die Sicherheitslücke ist inzwischen geschlossen worden.

Advertisements

15 thoughts on “Exklusiv: Neue Sicherheitslücke im StudiVZ

  1. haha! sehr geil! direkt mal genutzt…

  2. Geht gar nicht.

  3. Stimmt, geht nicht mehr. Die Lücke wurde offenbar gestopft.

  4. Hab das gerade mal ausprobiert. Damit kannst Du vielleicht deinen Browser (und das JavaScript) täuschen, aber nicht den Server. Da du es nur selbst verändert siehst, ist es irgendwie witzlos. Oder hab ich was falsch verstanden?

  5. nö. als die lücke noch offen war, habe ich ein paar leute damit verarschen können.

  6. Der Freund, der mir das zugespielt hat, meinte auch, dass er das in ein paar Fällen erfolgreich angewendet und von einem anderen Rechner aus überprüft habe.

  7. Ich bin überrascht, dass du bei dem Verein überhaupt angemeldet bist…

  8. Von vielen Leuten, die da angemeldet sind, habe ich weder die Telefonnummer noch die E-Mail-Adresse. Das StudiVZ bleibt da eine praktische Möglichkeit, mit denen im Kontakt zu bleiben.

  9. Schade, dass es nicht mehr geht. Ich hatte mich schon auf einen Spaß eingestellt ^^

  10. Man kann sich aber noch selber verlinken. Einfach bei der Box(siehe Quelltext >> Firebug) mit den Namen dinen Namen + ID einfügen bzw. einen anderen dafür abändern. Dann auswählen und OK.

  11. Shoes for ugg boots do not make you think of anything fashionable. Although even for a high fashion ugg sufferer, shoes for uggs are essential.

  12.  If you are looking to get the fake designer handbags at a much cheaper price then it is better to go with the http://www.excelhandbag.com. The quality of the replica handbags paypal is maintained to high standards such that they last for a long time as the original handbags. There will not be a single difference between the original one and the replica handbag.Here you can find not only quality but also the latest updated designs that will fit to your taste. You can find the perfect handbag to your taste with the http://www.excelhandbag.com.

  13. Louis Vuitton Outlet Online is not only make one fashion but also stand for them identity.Louis Vuitton is designed simple and novel.Louis Vuitton is a good choice for you. All the Louis Vuitton for sale on our Louis Vuitton Online Stores.Buy cheap Louis Vuitton from Louis Vuitton Online now!

  14. We are specialists in Swarovski beads, that are very fashionable.Precisely minimize Swarovski crystal beads will make sure that the handmade jewellery appears fantastic. Swarovski crystals are crafted in Austria greatest specifications of superior and so are regarded as the finest items of the type from the world. Welcome to our website,you will obtain a surprise

Comments are closed.