Comments on: XSS na Wykopie http://niebezpiecznik.pl/post/xss-na-wykopie/ groźne rzeczy schwytane w sieci... Sat, 11 Feb 2012 00:00:22 +0000 hourly 1 http://wordpress.org/?v=3.1.4 By: marsjaninzmarsa http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11947 marsjaninzmarsa Sat, 07 Aug 2010 04:40:41 +0000 http://niebezpiecznik.pl/?p=2666#comment-11947 Albo NoScripta. ;) Albo NoScripta. ;)

]]> By: Paweł Goleń http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11353 Paweł Goleń Sun, 25 Jul 2010 14:13:40 +0000 http://niebezpiecznik.pl/?p=2666#comment-11353 @BTM: Wyłącznie JavaScript nie zawsze jest rozwiązaniem dobrym. Niektóre formularze są nieco zagmatwane, przy ich wysyłaniu skrypty JavaScript wykonują z danymi jakieś cuda, łączą, formatują, przenoszą do innych pól. Wówczas wyłączając JavaScript ryzykujesz tym, że formatka nie zadziała, a później jeszcze musisz się zastanawiać dlaczego. Lepszym rozwiązaniem, mniej utrudniającym życie, jest wpięcie się pomiędzy przeglądarkę, a serwer przy pomocy narzędzi typu local proxy, np. WebScarab, Burp czy mój ulubiony Fiddler. @BTM: Wyłącznie JavaScript nie zawsze jest rozwiązaniem dobrym. Niektóre formularze są nieco zagmatwane, przy ich wysyłaniu skrypty JavaScript wykonują z danymi jakieś cuda, łączą, formatują, przenoszą do innych pól. Wówczas wyłączając JavaScript ryzykujesz tym, że formatka nie zadziała, a później jeszcze musisz się zastanawiać dlaczego.

Lepszym rozwiązaniem, mniej utrudniającym życie, jest wpięcie się pomiędzy przeglądarkę, a serwer przy pomocy narzędzi typu local proxy, np. WebScarab, Burp czy mój ulubiony Fiddler.

]]> By: Paweł Goleń http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11352 Paweł Goleń Sun, 25 Jul 2010 14:07:04 +0000 http://niebezpiecznik.pl/?p=2666#comment-11352 Oczywiście chodziło mi o mylenie znaku < ze stosowną encją, czyli < (może teraz prawidłowo się wyświetli) :) Oczywiście chodziło mi o mylenie znaku < ze stosowną encją, czyli < (może teraz prawidłowo się wyświetli) :)

]]> By: Paweł Goleń http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11351 Paweł Goleń Sun, 25 Jul 2010 14:05:49 +0000 http://niebezpiecznik.pl/?p=2666#comment-11351 @keemor: sprawa BYWA skomplikowana, ale nie zawsze. Problematyczne jest OCZYSZCZANIE danych wprowadzonych przez użytkownika z rzeczy niedozwolonych. Nawet przyjmując prawidłowe podejście białej listy można popełnić błędy (patrz przykład: http://threats.pl/bezpieczenstwo-aplikacji-internetowych/oczyszczanie-html-jest-trudne). Ma to zastosowanie wówczas, gdy pewien podzbiór HTML ma być dopuszczony. Z drugiej strony masz sytuację, w której znaczniki HTML nie są dopuszczane. Wówczas istnieją dwie podstawowe linie obrony: - walidacja danych wejściowych (znów - biała lista, a nie "znaki zakazane"), - encoding danych na wyjściu, Prawidłowe podejście to stosowanie obu tych mechanizmów jednocześnie. W szczególnym przypadku może okazać się, że walidacja danych wejściowych mija się z celem, bo dopuszczalne są wszystkie znaki, pozostaje druga linia - encoding. I właśnie tego prawidłowego encodingu tutaj zabrakło. Uwierz mi, nie ma jeszcze takiej przeglądarki, która znak < pomyli z < :) @keemor: sprawa BYWA skomplikowana, ale nie zawsze. Problematyczne jest OCZYSZCZANIE danych wprowadzonych przez użytkownika z rzeczy niedozwolonych. Nawet przyjmując prawidłowe podejście białej listy można popełnić błędy (patrz przykład: http://threats.pl/bezpieczenstwo-aplikacji-internetowych/oczyszczanie-html-jest-trudne). Ma to zastosowanie wówczas, gdy pewien podzbiór HTML ma być dopuszczony.

Z drugiej strony masz sytuację, w której znaczniki HTML nie są dopuszczane. Wówczas istnieją dwie podstawowe linie obrony:
- walidacja danych wejściowych (znów – biała lista, a nie “znaki zakazane”),
- encoding danych na wyjściu,
Prawidłowe podejście to stosowanie obu tych mechanizmów jednocześnie. W szczególnym przypadku może okazać się, że walidacja danych wejściowych mija się z celem, bo dopuszczalne są wszystkie znaki, pozostaje druga linia – encoding. I właśnie tego prawidłowego encodingu tutaj zabrakło. Uwierz mi, nie ma jeszcze takiej przeglądarki, która znak < pomyli z < :)

]]> By: BTM http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11308 BTM Fri, 23 Jul 2010 17:01:11 +0000 http://niebezpiecznik.pl/?p=2666#comment-11308 > Wstępnie wygladało, jaby poprawki zostały wprowadzone tylko po stronie klienta i nadal można było wstrzykiwać HTML lecz trzeba było ominąć walidację edytora (łatwo można to zrobić poprzez dodatki do przeglądarek takie jak FireBug, czy WebDeveloper, albo ręczne spreparowanie POSTa i wysłanie go za pomoca netcata czy chociażby napisanie prostego skryptu w perlu czy pythonie. Albo wyłączając JS w przeglądarce. Po co sobie życie komplikować? :> > Wstępnie wygladało, jaby poprawki zostały wprowadzone tylko po stronie klienta i nadal można było wstrzykiwać HTML lecz trzeba było ominąć walidację edytora (łatwo można to zrobić poprzez dodatki do przeglądarek takie jak FireBug, czy WebDeveloper, albo ręczne spreparowanie POSTa i wysłanie go za pomoca netcata czy chociażby napisanie prostego skryptu w perlu czy pythonie.

Albo wyłączając JS w przeglądarce. Po co sobie życie komplikować? :>

]]> By: kmetrak http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11291 kmetrak Fri, 23 Jul 2010 06:52:23 +0000 http://niebezpiecznik.pl/?p=2666#comment-11291 Zastanawiam się tylko ile wykopów zostało w ten sposób wciągniętych na główną - prostym skryptem, który od razu wykopuje znalezisko. Zastanawiam się tylko ile wykopów zostało w ten sposób wciągniętych na główną – prostym skryptem, który od razu wykopuje znalezisko.

]]> By: kamil http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11285 kamil Thu, 22 Jul 2010 23:23:18 +0000 http://niebezpiecznik.pl/?p=2666#comment-11285 czy (a raczej czemu) podatnosci typu iks-es-es doprowadzają was do erekcji, czy też naprawde nie macie już o czym pisac ? :) czy (a raczej czemu) podatnosci typu iks-es-es doprowadzają was do erekcji, czy też naprawde nie macie już o czym pisac ? :)

]]> By: m http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11275 m Thu, 22 Jul 2010 19:10:27 +0000 http://niebezpiecznik.pl/?p=2666#comment-11275 @s!n: Na pewno można (było) wstrzyknąć coś, co się wykona tylko if(d.getTime() > ***), gdzie var d = new Date(). :-) @s!n: Na pewno można (było) wstrzyknąć coś, co się wykona tylko if(d.getTime() > ***), gdzie var d = new Date(). :-)

]]> By: s!n http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11272 s!n Thu, 22 Jul 2010 16:45:03 +0000 http://niebezpiecznik.pl/?p=2666#comment-11272 AFAIK nie trzeba liczyć na to, że znalezisko trafi na główną już w ciągu pierwszych dwóch godzin. Jeśli można wstrzyknąć dowolny kod z dowolnego źródła to żadnym problemem jest zmodyfikowanie złośliwego kodu po upływie tego czasu. Poprawcie mnie jeśli się mylę - nie wiem jak to się ma do same origin policy w JS. AFAIK nie trzeba liczyć na to, że znalezisko trafi na główną już w ciągu pierwszych dwóch godzin. Jeśli można wstrzyknąć dowolny kod z dowolnego źródła to żadnym problemem jest zmodyfikowanie złośliwego kodu po upływie tego czasu. Poprawcie mnie jeśli się mylę – nie wiem jak to się ma do same origin policy w JS.

]]> By: Adriano http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11271 Adriano Thu, 22 Jul 2010 16:27:01 +0000 http://niebezpiecznik.pl/?p=2666#comment-11271 Dodając 'dodatkowy' kod na Wykopie filtrowało poprawnie, co skutkowało pozostawianiem śladów w tworzonych adresach URL - przykład: http://xss.wykop.pl/link/397013/podstawowe-informacje-o-xb-title-xss/ Jednak przy edycji można było robić już wszystko. Tamten link umieszczałem 3 tyg temu - od tego czasu chyba coś zmieniano, jeśli pole tytułu bezpośrednio przy dodawaniu (nie edycji) nie filtrowało już przykładowo "". Wykop już wcześniej miał problemy z XSS, powinni się nauczyć na własnych błędach. Dodając ‘dodatkowy’ kod na Wykopie filtrowało poprawnie, co skutkowało pozostawianiem śladów w tworzonych adresach URL – przykład: http://xss.wykop.pl/link/397013/podstawowe-informacje-o-xb-title-xss/
Jednak przy edycji można było robić już wszystko. Tamten link umieszczałem 3 tyg temu – od tego czasu chyba coś zmieniano, jeśli pole tytułu bezpośrednio przy dodawaniu (nie edycji) nie filtrowało już przykładowo “”.

Wykop już wcześniej miał problemy z XSS, powinni się nauczyć na własnych błędach.

]]> By: anonim http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11268 anonim Thu, 22 Jul 2010 16:01:10 +0000 http://niebezpiecznik.pl/?p=2666#comment-11268 Jest też możliwość CSRF gdzieniegdzie Jest też możliwość CSRF gdzieniegdzie

]]> By: marines http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11261 marines Thu, 22 Jul 2010 14:18:02 +0000 http://niebezpiecznik.pl/?p=2666#comment-11261 kolejny dowód na to jak żalowym serwisem jest wykop.pl -.- kolejny dowód na to jak żalowym serwisem jest wykop.pl -.-

]]> By: Piotr Konieczny http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11257 Piotr Konieczny Thu, 22 Jul 2010 12:05:47 +0000 http://niebezpiecznik.pl/?p=2666#comment-11257 AFAIK w ten weekend. AFAIK w ten weekend.

]]> By: void http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11256 void Thu, 22 Jul 2010 12:01:39 +0000 http://niebezpiecznik.pl/?p=2666#comment-11256 Kiedy luki zostały zgłoszone/załatane? Jakieś 3 tygodnie temu też sprawdzałem czy jest możliwość wyróżnienia tytułu.. wtedy już nie działało. Choć nawet nie liczyłem na to, że zadziała. Taka poważna strona.. ;) Kiedy luki zostały zgłoszone/załatane? Jakieś 3 tygodnie temu też sprawdzałem czy jest możliwość wyróżnienia tytułu.. wtedy już nie działało.

Choć nawet nie liczyłem na to, że zadziała. Taka poważna strona.. ;)

]]> By: Borys http://niebezpiecznik.pl/post/xss-na-wykopie/#comment-11253 Borys Thu, 22 Jul 2010 11:22:48 +0000 http://niebezpiecznik.pl/?p=2666#comment-11253 W starym wykopie tych luk raczej nie było. Nowa funkcjonalność niesie ze sobą nowe zagrożenia :} Taki pech ;] W starym wykopie tych luk raczej nie było. Nowa funkcjonalność niesie ze sobą nowe zagrożenia :} Taki pech ;]

]]>