Mastodon: Sicherheitslücke erlaubte den Diebstahl von Anmeldedaten
Der Sicherheitsforscher und Pentester Gareth Heyes fand eine Sicherheitslücke, mit der man Anmeldedaten von Mastodon-Usern auslesen konnte.
Dem Sicherheitsforscher Gareth Heyes gelang es, eine Sicherheitslücke in einem beliebten Client-Server-Fork von infosec.exchange bei Mastodon zu finden. Die HTML-Injection-Schwachstelle ermöglichte es dem Pentester, Anmeldedaten von Usern in Echtzeit auszulesen.
Die Sicherheit der User bei Mastodon hängt stark mit der Wahl einer Mastodon-Instanz zusammen. Eine dieser zurzeit sehr beliebten Instanzen ist infosec.exchange. Der Sicherheitsforscher und Pentester Gareth Heyes hat sich gefragt, wie sicher die Kommunikation der Infosec-Community auf Mastodon ist und fand tatsächlich eine Sicherheitslücke.
HTML-Code beim Versenden von Nachrichten nutzen dürfen, was kann da schon schiefgehen
... stellt Heyes in seinem Blogbeitrag fest. Und er sollte recht behalten. Mit Hilfe von erfolgreicher HTML Injection und nach einigem Ausprobieren gelang es ihm, den Code entsprechend zu manipulieren.
Mehr dazu findest Du auf tarnkappe.info
Kurze URL:
Das könnte Dich auch interessieren:
Mastodon-Instanzen rufen die für die Link-Vorschau nötigen Daten jeweils selbst vom zugehörigen Webserver ab. Dadurch entsteht nicht selten eine Anfragenflut mit DDoS-Charakter.
Das Finanzamt hat dem Open-Source-Netzwerk seinen Status aberkannt. Mastodon gründet jetzt ein neues Non Profit – in den USA.
Ähnliche News:
Offen für die Mastodons: Metas Threads ist jetzt im Fediverse
Wordpress und Mastodon sind jetzt befreundet
Threads: Profil lässt sich auf Mastodon verifizieren
Stanford-Forscher haben festgestellt dass Mastodon ein massives Problem mit Kindesmissbrauchsmateria ...
Mastodon in Gefahr: Kritische Schwachstelle erlaubt Server-Übernahme
Mastodon-Instanzen ließen sich durch spezielle Toots kapern
Datenleck bei Mastodon.social
Mastodon-Nutzerzahlen sinken nach Twitter-Exodus wieder
Mastodon kann nicht alle neuen Nutzer halten
Mastodon-Gründer: "Habe mehrere Investoren aus dem Silicon Valley abgelehnt"
Wordpress und Mastodon sind jetzt befreundet
Threads: Profil lässt sich auf Mastodon verifizieren
Stanford-Forscher haben festgestellt dass Mastodon ein massives Problem mit Kindesmissbrauchsmateria ...
Mastodon in Gefahr: Kritische Schwachstelle erlaubt Server-Übernahme
Mastodon-Instanzen ließen sich durch spezielle Toots kapern
Datenleck bei Mastodon.social
Mastodon-Nutzerzahlen sinken nach Twitter-Exodus wieder
Mastodon kann nicht alle neuen Nutzer halten
Mastodon-Gründer: "Habe mehrere Investoren aus dem Silicon Valley abgelehnt"
Weitere News:
Tesla schaltet mehr Reichweite gegen Geld frei
Livestream: Boeing Starliner hebt erstmals mit Astronauten ab
Provider nutzt IPv4-Adressen als Kreditabsicherung
Mediatheken-Betriebssystem als Open Source geplant
Microsoft pausiert neue Funktionen für Copilot
Google-Fit-APIs werden deaktiviert
Avast muss für DSGVO-Verstöße Millionenstrafe zahlen
Hubble Network: Bluetooth-Verbindung im Weltraum erfolgreich getestet
SpaceX stellt Anzug für Weltraumspaziergänge vor
Unternehmen kombiniert riesige Druckluft-Batterie mit Wasserkraft
Livestream: Boeing Starliner hebt erstmals mit Astronauten ab
Provider nutzt IPv4-Adressen als Kreditabsicherung
Mediatheken-Betriebssystem als Open Source geplant
Microsoft pausiert neue Funktionen für Copilot
Google-Fit-APIs werden deaktiviert
Avast muss für DSGVO-Verstöße Millionenstrafe zahlen
Hubble Network: Bluetooth-Verbindung im Weltraum erfolgreich getestet
SpaceX stellt Anzug für Weltraumspaziergänge vor
Unternehmen kombiniert riesige Druckluft-Batterie mit Wasserkraft
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(0)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024