abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 21:33 | Nová verze

Byla vydána nová major verze 7.10 svobodného systému pro řízení vztahů se zákazníky (CRM) s názvem SuiteCRM (Wikipedie). Jedná se o fork systému SugarCRM (Wikipedie). Zdrojové kódy SuiteCRM jsou k dispozici na GitHubu pod licencí AGPL.

Ladislav Hagara | Komentářů: 0
včera 16:44 | Nová verze

Byla vydána nová verze 0.30 display serveru Mir (Wikipedie) a nová verze 2.31 nástrojů snapd pro práci s balíčky ve formátu snap (Wikipedie). Z novinek Miru vývojáři zdůrazňují vylepšenou podporu Waylandu nebo možnost sestavení a spouštění Miru ve Fedoře. Nová verze snapd umí Mir spouštět jako snap.

Ladislav Hagara | Komentářů: 0
včera 14:00 | Komunita

Na Indiegogo běží kampaň na podporu Sway Hackathonu, tj. pracovního setkání klíčových vývojářů s i3 kompatibilního dlaždicového (tiling) správce oken pro Wayland Sway. Cílová částka 1 500 dolarů byla vybrána již za 9 hodin. Nový cíl 2 000 dolarů byl dosažen záhy. Vývojáři přemýšlejí nad dalšími cíli.

Ladislav Hagara | Komentářů: 1
včera 11:11 | Nasazení Linuxu

Před dvěma týdny se skupina fail0verflow (Blog, Twitter, GitHub) pochlubila, že se jim podařilo dostat Linux na herní konzoli Nintendo Switch. O víkendu bylo Twitteru zveřejněno další video. Povedlo se jim na Nintendo Switch rozchodit KDE Plasmu [reddit].

Ladislav Hagara | Komentářů: 3
včera 05:55 | Komunita

Byla vydána vývojová verze 3.2 softwaru Wine (Wikipedie), tj. softwaru, který vytváří aplikační rozhraní umožňující chod aplikací pro Microsoft Windows také pod GNU/Linuxem. Z novinek lze zdůraznit například podporu HID gamepadů. Aktuální stabilní verze Wine je 3.0, viz verzování. Nejistá je budoucnost testovací větve Wine Staging s řadou experimentálních vlastností. Současní vývojáři na ni již nemají čas. Alexandre Julliard, vedoucí projektu Wine, otevřel v diskusním listu wine-devel diskusi o její budoucnosti.

Ladislav Hagara | Komentářů: 2
18.2. 16:55 | Komunita

Do 22. března se lze přihlásit do dalšího kola programu Outreachy (Wikipedie), jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 14. května do 14. srpna 2018, v participujících organizacích lze vydělat 5 500 USD.

Ladislav Hagara | Komentářů: 46
17.2. 15:44 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice dnes slaví 6 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně ale byla založena až 17. února 2012. Poslední lednový den byl vydán LibreOffice 6.0. Dle zveřejněných statistik byl za dva týdny stažen již cca milionkrát.

Ladislav Hagara | Komentářů: 1
17.2. 04:44 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že byla vydána nová verze 1.2.3 svobodného routovacího démona Quagga (Wikipedie) přinášející několik bezpečnostních záplat. Při nejhorší variantě může dojít až k ovládnutí běžícího procesu, mezi dalšími možnostmi je únik informací z běžícího procesu nebo odepření služby DoS. Konkrétní zranitelnosti mají následující ID CVE-2018-5378, CVE-2018-5379, CVE-2018-5380 a CVE-2018-5381.

Ladislav Hagara | Komentářů: 0
17.2. 00:22 | Pozvánky

V sobota 7. dubna proběhne v Brně na FIT VUT nekomerční konference Security Session '18 věnovaná novinkám a aktuálním problémům v oblasti bezpečnosti mobilních a informačních technologií. Organizátoři vyhlásili CFP. Návrhy přednášek a workshopů lze zaslat do 4. března. Spuštěna byla registrace.

Ladislav Hagara | Komentářů: 0
16.2. 23:55 | Nová verze

Byla vydána verze 1.10 programovacího jazyka Go (Wikipedie). Přehled novinek v poznámkách k vydání. Zdůraznit lze vylepšené cachování buildů.

Ladislav Hagara | Komentářů: 0
Který webový vyhledávač používáte nejčastěji?
 (2%)
 (28%)
 (62%)
 (2%)
 (3%)
 (1%)
 (1%)
 (1%)
Celkem 374 hlasů
 Komentářů: 34, poslední 14.2. 18:44
    Rozcestník

    Portál

    Skupina se věnuje tomuto portálu z pohledu uživatelů i správců. Probírají se zde funkce abíčka, srazy, najdete zde nápovědu.
    Informace o skupině
    Založena: 9. 9. 2008
    Členů: 25
    Článků: 0
    Wiki stránek: 14
    Dotazů: 139
    Akcí: 0
    Čtenost: 100 %
    Skóre: 35

    Dotaz: XSS na Abclinuxu

    8.2. 23:50 ehm
    XSS na Abclinuxu
    Přečteno: 2356×
    Přílohy:
    Na Abclinuxu někdo očividně objevil a využil XSS. Přikládám screenshot. Otevřete si zdrojový kód stránky a dejte CTRL+F "alert"...

    Asi je dobrý nápad se odhlásit (a doufat, že to dropne session ID i na serveru). A pokud za tím stojí člověk, který si myslím, že za tím stojí, tak už fakt prosím provozovatele portálu, aby podal trestní oznámení. Osobně jsem už před několika týdny policii elektronickou formou upozornil na některé jeho komentáře, protože to už bylo těžce za hranou.

    Odpovědi

    9.2. 00:03 .
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Hlavně se z toho neposrat a dát si web dopořádku. Bylo načase
    9.2. 00:53 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Zkusit odhalit chybu je jedna věc. Psát urážlivé příspěvky, spamovat, vyhrožovat zničením portálu a nakonec se pokusit exploitnout nějakou zranitelnost a tvářit se u toho, že nám všem vlastně děláš nějakou službu, je věc druhá.

    Pokud si chceš napravit reputaci, nejlepší, co můžeš udělat, je omluvit se, začít se chovat normálně (nebo úplně zmizet) a doufat, že se na tohle co nejrychleji zapomene.
    Blaazen avatar 9.2. 00:41 Blaazen | skóre: 21
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Já vidím v kategorii "Slovník" přidané heslo "debil" a v "Kdo je" položku "aa bb".
    9.2. 01:09 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Ano. Ty skripty už asi někdo z adminů odstranil.
    9.2. 02:48 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tak to vypadá, že to odstranil dotyčný sám. Viz první revize toho hesla ve slovníku.

    Dokud nebude ta chyba zazáplatována, je potřeba mít na Abclinuxu zablokovaný JavaScript. Používate-li Chrome, mohu doporučit No-Script Suite Lite. Obzvlášť to platí u adminů. Tam by krádež cookies mohla mít fatální následky.

    Ještě dodávám, že ten skript se spouštěl i na titulní straně. Je to fakt velmi závažná bezpečnostní chyba.
    9.2. 08:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Dokud nebude ta chyba zazáplatována, je potřeba mít na Abclinuxu zablokovaný JavaScript.
    Útočník by mohl maximálně tak jménem uživatele postnout z JavaScriptu nějaké příspěvky.
    Tam by krádež cookies mohla mít fatální následky.
    Akorát že přihlašovací cookies na Abíčku už mají nějakou dobu nastavený atribut HTTPonly.
    Je to fakt velmi závažná bezpečnostní chyba.
    Ani bych neřekl.
    9.2. 08:34 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Útočník by mohl maximálně tak jménem uživatele postnout z JavaScriptu nějaké příspěvky.
    Mazat nemůže?
    Akorát že přihlašovací cookies na Abíčku už mají nějakou dobu nastavený atribut HTTPonly.
    Aha, to jsem nevěděl (a dokonce jsem takový atribut ani neznal). To tedy krádež session snad vylučuje.
    Ani bych neřekl.
    Je to méně závažné než jsem si myslel (s ohledem na ten atribut HTTPonly), ale i byť jen možnost postovat pod cizím jménem mi docela závažná přijde.
    9.2. 09:09 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Mazat nemůže?
    Může jenom to, co uživatel.
    To tedy krádež session snad vylučuje.
    Vylučuje, proto jsem před pár lety ten patch posílal, když si tu tenkrát někdo začal hrát s XSS.
    byť jen možnost postovat pod cizím jménem mi docela závažná přijde
    Může vložit skript, který se provede tam, kde se používá (v tomto případě) název hesla ze slovníku. Je to jeden společný skript pro všechny, pokud by chtěl něco vložit jménem konkrétního uživatele, musí si v tom skriptu zjistit, zda je to právě přihlášený uživatel, pak zvolit třeba nějaké časové rozmezí (aby se to za daného uživatele vložilo jen několikrát a ne pořád dokola), a vkládaný text opět musí být napevno součástí toho skriptu (může jich tam být víc, ale stále omezené množství). Navíc ten skript bude uložený v historii daného slovníkového hesla, stačí si pak z databáze vyjet všechna hesla vytvořená v poslední době, která obsahují <script.

    Z možných bezpečnostních chyb je tenhle typ chyby méně závažný. XSS chyb bude na Abíčku pravděpodobně o dost víc, v době, kdy Abíčko vzniklo, se takovéhle věci neřešily – tenkrát se to bralo, že si přece nebudeme škodit navzájem. Dneska by to určitě chtělo na Abíčko nasadit CSP, jenže to není jen otázka nastavení jednoho příznaku, protože Abíčko používá i dost inline skriptů.

    Bohužel to jenom potvrzuje, že když se nechá „svoboda“ malým trollům, přitáhnou za nimi větší trollové a po nich ti, kteří už chtějí jenom škodit a nijak se s tím netají.
    9.2. 10:00 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Může jenom to, co uživatel.
    Přístup pro adminy je úplně oddělený, nebo...?
    Je to jeden společný skript pro všechny, pokud by chtěl něco vložit jménem konkrétního uživatele, musí si v tom skriptu zjistit, zda je to právě přihlášený uživatel, pak zvolit třeba nějaké časové rozmezí (aby se to za daného uživatele vložilo jen několikrát a ne pořád dokola), a vkládaný text opět musí být napevno součástí toho skriptu (může jich tam být víc, ale stále omezené množství).
    Spammerovi je to jedno (naopak by to možná ještě narval do cyklu).
    Bohužel to jenom potvrzuje, že když se nechá „svoboda“ malým trollům, přitáhnou za nimi větší trollové a po nich ti, kteří už chtějí jenom škodit a nijak se s tím netají.
    Nevím, jak to mám chápat. V komunitách, kde je nízká tolerance vůči trollům se objevuje méně záškodníků, protože od počátku vidí, že se daleko nedostanou? Z hlediska projevování se asi ano, ale nemyslím si, že by to někoho odradilo od hledání bezpečnostních chyb (naopak by to jejich hledání možná vyprovokovalo ještě víc). Ale nepřijde mi to podstatné.
    9.2. 10:23 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Přístup pro adminy je úplně oddělený, nebo...?
    Bylo to myšleno tak, že vložený JavaScript může dělat jenom to, co může dělat přihlášený uživatel, u kterého ten skript běží. Admini si teď holt musí dávat pozor.
    Nevím, jak to mám chápat. V komunitách, kde je nízká tolerance vůči trollům se objevuje méně záškodníků, protože od počátku vidí, že se daleko nedostanou?
    Ano.
    nemyslím si, že by to někoho odradilo od hledání bezpečnostních chyb (naopak by to jejich hledání možná vyprovokovalo ještě víc)
    Tady nejde o hledání bezpečnostních chyb, ale o jejich zneužívání. Komunita lidí kolem portálu o těch chybách ví, některý z trollů občas něco z legrace zkusil, bylo to třeba nepříjemné, ale nikdy to nebylo dělané s cílem útočit nebo něco ničit. S úmyslem ničit toho začal zneužívat až petrfm. Za ty léta je vidět, jak se to postupně zhoršuje – nejprve jen napadání v konkrétních diskusích, pak opakované napadání konkrétních lidí, pak ruční tapetování diskusí a teď už skripty. A vždy to někdo obhajoval tím, že je to přece svoboda slova a to je to nejdůležitější a to zajišťuje svobodnou diskusi. No, tak teď už je snad každému jasné, že v diskusi je to úplně stejné, jako ve sportu – skutečnou diskusi nebo skutečné sportovní utkání nezajistí to, že se bude „hrát“ bez pravidel, ale právě naopak, funguje to jedině tehdy, pokud se pravidla dodržují.
    14.2. 14:49 .
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Ani bych neřekl.
    To já teda jo, ale ty tomu rozumíš, že?
    9.2. 09:39 KOKOT7
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    To mu ale zase nepojede ta nova CAPTCHA :-D LOL
    Jsem kokot a všeci mi to závidí
    9.2. 10:05 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Captcha se týká jen neregistrovaných uživatelů.
    9.2. 10:06 hmm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Takže neregistrovaným nemusí vadit XSS útok zde na webu? Jo aha, to není komunita kolem abíčka, ti jsou vám u prdele, že?
    Luboš Doležel (Doli) avatar 9.2. 09:13 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Vypadá to, že tím trpí sekce Slovník a Software, a to jen v titulku objektu.
    9.2. 09:27 marbu | skóre: 28 | blog: hromada | Brno
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
    9.2. 09:51 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Ano, to je výborný nápad, napovídat útočníkovi, co ještě může zneužít.
    9.2. 09:53 KOKOT7
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Vy šulíni. Takže vy máte děravý web a vystavujete tak jeho návštěvníky riziku poškození nebo napadení jejich PC a místo abyste byli rádi že vás na to někdo upozorní, ještě budete remcat?

    Vy si to fakt asi zasloužíte.
    Jsem kokot a všeci mi to závidí
    9.2. 10:02 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Já dnes s Abíčkem nemám nic společného. Pokud by webový prohlížeč umožnil skrze webovou stránku poškodit nebo napadnout PC, je to chyba toho prohlížeče. Nevím, proč by někdo měl být rád za to, že ho někdo upozorní na něco, co už dávno ví. Jediné, na co tady upozorňujete, je to, že jste si přezdívku zvolil správně.
    9.2. 10:04 hmm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Takže pokrytci?
    9.2. 10:33 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    V čem? Abíčko bylo původně komunitní portál. Zahrádkáři si taky mezi sebou věří a nemá každý svoji mrkev přivázanou řetězem, aby mu ji kolega od vedle neukradl. Akorát byla původní komunita uživatelů linuxu postupně nahrazena komunitou těch, kteří si myslí, že povoleno má být vše a odpovědnost nemá být žádná. Což je bohužel poněkud v rozporu s principem komunit nebo společenství, ale výsledky už jsou vidět dávno.
    Luboš Doležel (Doli) avatar 9.2. 10:53 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tenhle XSS vám nepoškodí ani nenapadne PC víc než jakýkoliv jiný skript, co může někde být.
    9.2. 11:01 marbu | skóre: 28 | blog: hromada | Brno
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Vzhledem k tomu, že ten útočník už našel jinou lepší chybu, nemyslím si, že bych mu tím nějak extra pomohl. A když už tu to vlákno o XSS jednou máme, může ten můj komentář pomoct spíš někomu ze správců, kdo to bude chtít řešit. Navíc Luboš to už jednou opravil, a tak mi přijde, že opravit to znovu by mělo být jednodušší než to co se tu řeší dnes.
    I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
    9.2. 14:38 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Nikoli, útočník našel menší chybu, a teprve ta vaše nápověda by mu umožnila to pořádně využít. Nevím, jak by správcům mohlo pomoci upozornění na něco, o čem vědí. Ta chyba opravená nikdy nebyla.
    9.2. 14:54 pete
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tak to je vrchol ubohosti, pokud je to něčí zodpovědnost, tak těch, co o zranitelnosti léta věděli a nic s tím neudělali. Neházej to na druhé, zbabělče.
    9.2. 15:19 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Máte zabezpečený barák proti útoku tankem nebo třeba proti bombardování? Nebo spoléháte na to, že jsme ve střední Evropě a vyskytují se tu maximálně zloději, kteří překonají nějaký zámek, ale nesrovnají vám barák se zemí? Při zabezpečování jde vždy o to, co bude vyšší – zda náklady na zabezpečení nebo motivace útočníka. Nejlepší je to samozřejmě tam, kde si lidé mohou navzájem věřit a nemusí vyhazovat peníze na obranu.

    Anonymně někoho označovat za zbabělce, to je vskutku statečný postoj.
    9.2. 09:45 KOKOT7
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Koukam ze vas to hazi na root, asi vas konkurence taky miluje :-D
    Jsem kokot a všeci mi to závidí
    9.2. 09:46 KOKOT7
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Maji vas tam za nymandy. Uz i holky z mimibazaru se vam smejou, ze tu mate XSS :-D
    Jsem kokot a všeci mi to závidí
    9.2. 09:58 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Nikoli. Komunita kolem Abíčka ví o tom, že Abíčko má různé bezpečnostní chyby. To vám se smějou, protože neumíte nic jiného, než bořit – a ještě si vybíráte jako cíl útoku něco, co si přátelé udělali jen tak pro sebe, takže neměli potřebu to zabezpečovat.
    9.2. 15:31 sad
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Aha, takže tohle je pomsta za to TO. Nicméně podávat TO jen kvůli komentářům, to je také docela zvláštní.

    Tak tahle captcha je strašná!!!!!

    Inspirujte se radši ulozto.cz
    k3dAR avatar 9.2. 18:43 k3dAR | skóre: 48
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    jsou komentare a klmentarem petrfm za posledni rok pripagoval komunisticky/totalitni rezim, mel rasisticke,xenofobmi,urazlive komentate, nadaval jak tisic dlazdicu, podnecoval k nenavisti.., kdyz ale se zacal psychycky hroutit a zaclob sen to stupnova?? ze to zlehcujes je tvuj problem...
    porad nemam telo, ale uz mam hlavu... nobody
    9.2. 18:55 sad
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Snad to TO podával někdo gramotnější...
    9.2. 19:18 sad
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tohle psal falešný sad.
    k3dAR avatar 9.2. 20:40 k3dAR | skóre: 48
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    moje (ne)gramotnost nema nic spolecneho s preklepama na virtualni klavesnici v telefonu ;-) a ne, ja TO nepodaval...
    porad nemam telo, ale uz mam hlavu... nobody
    9.2. 22:27 pc2005 | skóre: 35 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Ten XSS se dá brát jako pokus o krádež přihlašovacích údajů. V případě že by to byl adminský login, tak i třeba hesla a maily uživatelů apod.
    9.2. 22:26 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Nicméně podávat TO jen kvůli komentářům, to je také docela zvláštní.
    Změna v jeho chování byla natolik divná, že jsem měl podstatnou obavu o to, jak se projevuje v normálním životě (mj. s ohledem na to, že asi má děti). Já nemůžu rozlišit, jestli tu prostě jen píše sračky, nebo je nebezpečný sobě a/nebo okolí. Nedělám si iluze, že by mu za těch pár komentářů hrozil nějaký vážný postih (a ani bych z toho neměl žádný užitek). Teď už je zjevné, že nějaké duševní problémy má a můj odhad byl správný.

    Mimochodem, o legitimní podání TO se tak úplně nejednalo. Upozornil jsem policii e-mailem a ta dodnes neodpověděla – ale to už není moje starost. Já udělal to, co mi přišlo, že jsem udělat měl, a dál už je to na nich. Pokud se domnívají, že to není třeba řešit, tak v pořádku. Už se nebudu muset cítit spoluzodpovědný v případě, že mu rupne v bedně úplně a začne se chovat agresivně, nebo co já vím.
    tsLnox avatar 9.2. 21:21 tsLnox | skóre: 31 | blog: Blog jednoho ukecaného Gentoolemana | Žďár nad Sázavou
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Teď mě to redirectlo na ahaonline a v sekci Kdo je jsou natřískaný iframy s aha.cz nebo čím.
    9.2. 21:23 robotekemil | skóre: 3
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Nevíš kdo je tam dal a jak je možné, že tam jdou dát? :-D
    Luboš Doležel (Doli) avatar 9.2. 22:09 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tohle je totální minový pole. Ve zkratce jde o to, že skoro nikde ve zdrojácích Ábíčka se neescapují uživatelem zadané vstupy při jejich výpisu v šabloně, i když je to ve Freemarkeru otázka přidání ?html za proměnnou.

    Všude se spoléhá na kontroly při vkládání (typu String.indexOf('<') != -1) a ty někde chybí. A pak jsou tam zrádnosti jako že Misc.filterDangerousCharacters() filtruje všelijaký nebezpečný rozsahy unicode, ale rozhodně neřeší <, takže při kontrole člověk mylně předpokládá, že to dělá něco jiného..
    9.2. 22:25 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Poslední verze Freemarkeru to má dokonce opačně, výchozí je escapování a musí se mu explicitně říct, co escapovat nemá. Pro Abíčko to bohužel není řešení, protože v uživatelských datech je i markup, akorát někde není ošetřený.

    Přemýšlím, co je teď pro Abíčko lepší – zda teď nechat petrfm, aby všechny ty XSS našel, nebo ke všem vloženým skriptům doplnit vypsání nonce a zapnout CSP.
    9.2. 22:33 pc2005 | skóre: 35 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Přemýšlím, co je teď pro Abíčko lepší – zda teď nechat petrfm, aby všechny ty XSS našel, nebo ke všem vloženým skriptům doplnit vypsání nonce a zapnout CSP.
    Povolit v komentářích pouze "ook" a "eek" :-P

    Jinak vážně: pokud to není nikde ošetřený, tak se to náhodnýma pokusama nenajde všechno. Nebo by to trvalo tak dlouho, že by tu už nikdo nezbyl.
    9.2. 22:46 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Pokud si to dobře pamatuju, naopak to na spoustě míst ošetřený je (protože např. v komentářích by lidé „škodili“ ne proto, že by chtěli útočit, ale prostě by omylem něco napsali špatně), ale na méně používaných místech to ošetřené není, protože tenkrát nikdo nepočítal s tím, že by na Abíčko někdo záměrně útočil. A překvapivě to vydrželo hodně dlouho, premiéru si teď odbyl až petrfm. Dříve to občas někdo zkusil, ale nikdy takhle se záměrem vyloženě portálu systematicky škodit. Navíc těch míst, odkud může uživatel vkládat obsah, zase není tolik. A pokud to zůstane někde na nějaké zastrčen stránce, není to takový problém – problém je hlavně ten obsah, který se generuje na hlavní stránku.
    Bedňa avatar 11.2. 22:13 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Ja to už nejaký čas riešim tak, že užívateľ môže vložiť úplne všetko a až samotné vykresľovanie stránky prevedie kontrolu. Takže sa to deje na jednom mieste a to sa už ustrážiť dá. Tak aj keď niekto nájde chybu, raz to oparvíš a máš to všade. No autori článkov, blogov a komentárov sa nemusia o nič starať a môžu pastovať priamo skripty.

    Jo a ktomu čo si písal, že pred časom tu niekto XSS skúšal, ale ja som to robil ako White hat :) Teda len som na to upozornil.
    KERNEL ULTRAS video channel >>>
    11.2. 22:20 robotekemil | skóre: 3
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tak jako já. Nikdy jsem toho nezneužil.
    11.2. 23:33 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    To je lež. Některé vaše vložené iframy nebo přesměrování jsou vidět v historii příslušných stránek.
    11.2. 23:29 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Jo a ktomu čo si písal, že pred časom tu niekto XSS skúšal, ale ja som to robil ako White hat :) Teda len som na to upozornil.
    Vždyť jsem také psal „zkoušel“ a ne „škodil“. Akorát by mi jako upozornění přišlo vhodnější oznámit to správcům a ne napsat to do veřejné diskuse a doufat, že si toho někdo všimne. I když je pravda, že kdyby to nebylo ve veřejné diskusi, nenarazil bych na to a nepřipravil tu opravu, která alespoň znemožnila čtení cookies z JavaScriptu.
    Bedňa avatar 12.2. 19:15 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tak sám vidíš, že to zabralo :) Nejak som to napísal, v kontexte diskusie a nenapdalo ma to proste dať napr. Dolimu, pretože to je asi posledný človek, ktorý to tu udržuje.
    KERNEL ULTRAS video channel >>>
    včera 16:11 miho | skóre: 22 | blog: Mihovy_sochory | Orlová
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Na xxs zde na abclinuxu https://tinyurl.com/hfb3en4 a na diit https://tinyurl.com/zodzopt

    jsem upozornil redakce již v dubnu minulého roku. Byl jsem poslán do prdele (ne doslova ale de facto ano) tak jsem to jen zveřejnil na svém twitteru a dál neřešil.

    včera 20:02 pc2005 | skóre: 35 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    To se vezme rovnou HTML v URL? o_O
    Luboš Doležel (Doli) avatar včera 21:02 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    To URL se dostane do exception message a ta se v šabloně se dále neescapuje, takže se dostane v nezměněné podobě do HTML kódu stránky. Opraveno.
    včera 21:21 robotekemil | skóre: 3
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Necháváš si za ty opravy platit, nebo to děláš zdarma?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.