abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 13:00 | Komunita

Při prvním spuštění Ubuntu 18.04 LTS (Bionic Beaver) je spuštěn nástroj Ubuntu Report. Pokud uživatel souhlasí, jsou pomocí tohoto nástroje odeslány do Canonicalu informace o daném počítači (doba instalace, počet procesorů, rozlišení displeje, velikost paměti, časová zóna, ...). V červnu byly zveřejněny první statistiky. Podrobnější statistiky jsou nově k dispozici na samostatné stránce.

Ladislav Hagara | Komentářů: 0
dnes 01:00 | Pozvánky

O víkendu probíhá v Košicích pravidelné setkání příznivců otevřených technologií OSS Víkend. Na programu je řada zajímavých přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
dnes 00:11 | Nová verze

Byla vydána nová verze 1.3 otevřeného, licenčními poplatky nezatíženého, univerzálního ztrátového formátu komprese zvuku Opus (Wikipedie) a jeho referenční implementace libopus. Vylepšena byla například detekce, zda se jedná o řeč nebo o hudbu. Přidána byla podpora prostorového zvuku (immersive audio) dle plánovaného RFC 8486. Podrobnosti a zvukové ukázky na demo stránce.

Ladislav Hagara | Komentářů: 0
včera 22:33 | Nová verze

Bylo vydáno Ubuntu 18.10 s kódovým názvem Cosmic Cuttlefish (Kosmická sépie). Ke stažení jsou Ubuntu Desktop a Server, Ubuntu Cloud Images, Ubuntu Netboot, Kubuntu, Lubuntu a Lubuntu Alternate, Ubuntu Budgie, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio a Xubuntu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 2
včera 18:33 | Nová verze

Byl vydán PostgreSQL ve verzi 11.0. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 17:33 | IT novinky

Nadace Raspberry Pi představila na svém blogu Raspberry Pi TV HAT, tj. rozšíření jednodeskového počítače Raspberry Pi umožňující příjem televizního vysílání DVB-T a DVB-T2. Cena rozšíření je 21,50 $.

Ladislav Hagara | Komentářů: 2
včera 17:07 | Nová verze

Vychází OpenBSD 6.4. Z řady novinek namátkou: podpora dalších architektur (arm64 např. dostal z Linuxu vypůjčený ovladač radeondrm), hypervizor vmm podporuje i qcow2 disky a šablony, jádro dokáže automaticky přepínat mezi dostupnými bezdrátovými sítěmi, sítě pracují o něco efektivněji, z bezpečnosti „přísaha byla doplněna odhalením“ (pledge(2) lze vhodně doplnit pomocí unveil(2)), SMT je ve výchozím stavu vypnutý, ale lze jej zapnout. Syntaxe nastaveni OpenSMTPD se změnila. S vydáním vychází také nová verze LibreSSL - 2.8.2.

Daniel Čižinský | Komentářů: 4
17.10. 23:15 | IT novinky

Firma Raptor Computing Systems, která stojí také za pracovní stanicí Talos II, představila levnější desku Blackbird s podporou jednoho 4-/8jádrového CPU POWER9 Sforza a formátem microATX; bližší specifikace jsou ve wiki výrobce.

Fluttershy, yay! | Komentářů: 23
17.10. 22:11 | Zajímavý projekt

Byla vydána verze 1.0 svobodné federalizované platformy pro sledování a sdílení videí, alternativy YouTube s podporou P2P, PeerTube (Wikipedie). Za vývojem PeerTube stojí nezisková organizace Framasoft snažící se mimo jiné nahradit svými svobodnými Frama službami služby společnosti Google (De-google-ify Internet).

Ladislav Hagara | Komentářů: 0
17.10. 19:44 | Zajímavý projekt

Společnost System76 prodávající počítače s Pop!_OS nebo Ubuntu plánuje prodej vlastního open source počítače s názvem Thelio. Informací je poskrovnu. Na Twitteru byla představena open source rozšířující deska (daughterboard), která by měla převzít funkce proprietárního softwaru na základní desce (motherboard).

Ladislav Hagara | Komentářů: 2
Přispíváte osobně k vývoji svobodného softwaru?
 (40%)
 (43%)
 (24%)
 (23%)
 (11%)
 (37%)
Celkem 246 hlasů
 Komentářů: 12, poslední 17.10. 21:18
Rozcestník

Portál

Skupina se věnuje tomuto portálu z pohledu uživatelů i správců. Probírají se zde funkce abíčka, srazy, najdete zde nápovědu.
Informace o skupině
Založena: 9. 9. 2008
Členů: 25
Článků: 0
Wiki stránek: 14
Dotazů: 146
Akcí: 0
Čtenost: 100 %
Skóre: 35

Dotaz: XSS na Abclinuxu

8.2. 23:50 ehm
XSS na Abclinuxu
Přečteno: 3829×
Přílohy:
Na Abclinuxu někdo očividně objevil a využil XSS. Přikládám screenshot. Otevřete si zdrojový kód stránky a dejte CTRL+F "alert"...

Asi je dobrý nápad se odhlásit (a doufat, že to dropne session ID i na serveru). A pokud za tím stojí člověk, který si myslím, že za tím stojí, tak už fakt prosím provozovatele portálu, aby podal trestní oznámení. Osobně jsem už před několika týdny policii elektronickou formou upozornil na některé jeho komentáře, protože to už bylo těžce za hranou.

Odpovědi

9.2. 00:03 .
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Hlavně se z toho neposrat a dát si web dopořádku. Bylo načase
9.2. 00:53 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Zkusit odhalit chybu je jedna věc. Psát urážlivé příspěvky, spamovat, vyhrožovat zničením portálu a nakonec se pokusit exploitnout nějakou zranitelnost a tvářit se u toho, že nám všem vlastně děláš nějakou službu, je věc druhá.

Pokud si chceš napravit reputaci, nejlepší, co můžeš udělat, je omluvit se, začít se chovat normálně (nebo úplně zmizet) a doufat, že se na tohle co nejrychleji zapomene.
Blaazen avatar 9.2. 00:41 Blaazen | skóre: 22
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Já vidím v kategorii "Slovník" přidané heslo "debil" a v "Kdo je" položku "aa bb".
9.2. 01:09 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Ano. Ty skripty už asi někdo z adminů odstranil.
9.2. 02:48 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tak to vypadá, že to odstranil dotyčný sám. Viz první revize toho hesla ve slovníku.

Dokud nebude ta chyba zazáplatována, je potřeba mít na Abclinuxu zablokovaný JavaScript. Používate-li Chrome, mohu doporučit No-Script Suite Lite. Obzvlášť to platí u adminů. Tam by krádež cookies mohla mít fatální následky.

Ještě dodávám, že ten skript se spouštěl i na titulní straně. Je to fakt velmi závažná bezpečnostní chyba.
9.2. 08:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Dokud nebude ta chyba zazáplatována, je potřeba mít na Abclinuxu zablokovaný JavaScript.
Útočník by mohl maximálně tak jménem uživatele postnout z JavaScriptu nějaké příspěvky.
Tam by krádež cookies mohla mít fatální následky.
Akorát že přihlašovací cookies na Abíčku už mají nějakou dobu nastavený atribut HTTPonly.
Je to fakt velmi závažná bezpečnostní chyba.
Ani bych neřekl.
9.2. 08:34 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Útočník by mohl maximálně tak jménem uživatele postnout z JavaScriptu nějaké příspěvky.
Mazat nemůže?
Akorát že přihlašovací cookies na Abíčku už mají nějakou dobu nastavený atribut HTTPonly.
Aha, to jsem nevěděl (a dokonce jsem takový atribut ani neznal). To tedy krádež session snad vylučuje.
Ani bych neřekl.
Je to méně závažné než jsem si myslel (s ohledem na ten atribut HTTPonly), ale i byť jen možnost postovat pod cizím jménem mi docela závažná přijde.
9.2. 09:09 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Mazat nemůže?
Může jenom to, co uživatel.
To tedy krádež session snad vylučuje.
Vylučuje, proto jsem před pár lety ten patch posílal, když si tu tenkrát někdo začal hrát s XSS.
byť jen možnost postovat pod cizím jménem mi docela závažná přijde
Může vložit skript, který se provede tam, kde se používá (v tomto případě) název hesla ze slovníku. Je to jeden společný skript pro všechny, pokud by chtěl něco vložit jménem konkrétního uživatele, musí si v tom skriptu zjistit, zda je to právě přihlášený uživatel, pak zvolit třeba nějaké časové rozmezí (aby se to za daného uživatele vložilo jen několikrát a ne pořád dokola), a vkládaný text opět musí být napevno součástí toho skriptu (může jich tam být víc, ale stále omezené množství). Navíc ten skript bude uložený v historii daného slovníkového hesla, stačí si pak z databáze vyjet všechna hesla vytvořená v poslední době, která obsahují <script.

Z možných bezpečnostních chyb je tenhle typ chyby méně závažný. XSS chyb bude na Abíčku pravděpodobně o dost víc, v době, kdy Abíčko vzniklo, se takovéhle věci neřešily – tenkrát se to bralo, že si přece nebudeme škodit navzájem. Dneska by to určitě chtělo na Abíčko nasadit CSP, jenže to není jen otázka nastavení jednoho příznaku, protože Abíčko používá i dost inline skriptů.

Bohužel to jenom potvrzuje, že když se nechá „svoboda“ malým trollům, přitáhnou za nimi větší trollové a po nich ti, kteří už chtějí jenom škodit a nijak se s tím netají.
9.2. 10:00 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Může jenom to, co uživatel.
Přístup pro adminy je úplně oddělený, nebo...?
Je to jeden společný skript pro všechny, pokud by chtěl něco vložit jménem konkrétního uživatele, musí si v tom skriptu zjistit, zda je to právě přihlášený uživatel, pak zvolit třeba nějaké časové rozmezí (aby se to za daného uživatele vložilo jen několikrát a ne pořád dokola), a vkládaný text opět musí být napevno součástí toho skriptu (může jich tam být víc, ale stále omezené množství).
Spammerovi je to jedno (naopak by to možná ještě narval do cyklu).
Bohužel to jenom potvrzuje, že když se nechá „svoboda“ malým trollům, přitáhnou za nimi větší trollové a po nich ti, kteří už chtějí jenom škodit a nijak se s tím netají.
Nevím, jak to mám chápat. V komunitách, kde je nízká tolerance vůči trollům se objevuje méně záškodníků, protože od počátku vidí, že se daleko nedostanou? Z hlediska projevování se asi ano, ale nemyslím si, že by to někoho odradilo od hledání bezpečnostních chyb (naopak by to jejich hledání možná vyprovokovalo ještě víc). Ale nepřijde mi to podstatné.
9.2. 10:23 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Přístup pro adminy je úplně oddělený, nebo...?
Bylo to myšleno tak, že vložený JavaScript může dělat jenom to, co může dělat přihlášený uživatel, u kterého ten skript běží. Admini si teď holt musí dávat pozor.
Nevím, jak to mám chápat. V komunitách, kde je nízká tolerance vůči trollům se objevuje méně záškodníků, protože od počátku vidí, že se daleko nedostanou?
Ano.
nemyslím si, že by to někoho odradilo od hledání bezpečnostních chyb (naopak by to jejich hledání možná vyprovokovalo ještě víc)
Tady nejde o hledání bezpečnostních chyb, ale o jejich zneužívání. Komunita lidí kolem portálu o těch chybách ví, některý z trollů občas něco z legrace zkusil, bylo to třeba nepříjemné, ale nikdy to nebylo dělané s cílem útočit nebo něco ničit. S úmyslem ničit toho začal zneužívat až petrfm. Za ty léta je vidět, jak se to postupně zhoršuje – nejprve jen napadání v konkrétních diskusích, pak opakované napadání konkrétních lidí, pak ruční tapetování diskusí a teď už skripty. A vždy to někdo obhajoval tím, že je to přece svoboda slova a to je to nejdůležitější a to zajišťuje svobodnou diskusi. No, tak teď už je snad každému jasné, že v diskusi je to úplně stejné, jako ve sportu – skutečnou diskusi nebo skutečné sportovní utkání nezajistí to, že se bude „hrát“ bez pravidel, ale právě naopak, funguje to jedině tehdy, pokud se pravidla dodržují.
14.2. 14:49 .
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Ani bych neřekl.
To já teda jo, ale ty tomu rozumíš, že?
9.2. 09:39 KOKOT7
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
To mu ale zase nepojede ta nova CAPTCHA :-D LOL
Jsem kokot a všeci mi to závidí
9.2. 10:05 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Captcha se týká jen neregistrovaných uživatelů.
9.2. 10:06 hmm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Takže neregistrovaným nemusí vadit XSS útok zde na webu? Jo aha, to není komunita kolem abíčka, ti jsou vám u prdele, že?
Luboš Doležel (Doli) avatar 9.2. 09:13 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Vypadá to, že tím trpí sekce Slovník a Software, a to jen v titulku objektu.
9.2. 09:27 marbu | skóre: 29 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
9.2. 09:51 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Ano, to je výborný nápad, napovídat útočníkovi, co ještě může zneužít.
9.2. 09:53 KOKOT7
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Vy šulíni. Takže vy máte děravý web a vystavujete tak jeho návštěvníky riziku poškození nebo napadení jejich PC a místo abyste byli rádi že vás na to někdo upozorní, ještě budete remcat?

Vy si to fakt asi zasloužíte.
Jsem kokot a všeci mi to závidí
9.2. 10:02 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Já dnes s Abíčkem nemám nic společného. Pokud by webový prohlížeč umožnil skrze webovou stránku poškodit nebo napadnout PC, je to chyba toho prohlížeče. Nevím, proč by někdo měl být rád za to, že ho někdo upozorní na něco, co už dávno ví. Jediné, na co tady upozorňujete, je to, že jste si přezdívku zvolil správně.
9.2. 10:04 hmm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Takže pokrytci?
9.2. 10:33 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
V čem? Abíčko bylo původně komunitní portál. Zahrádkáři si taky mezi sebou věří a nemá každý svoji mrkev přivázanou řetězem, aby mu ji kolega od vedle neukradl. Akorát byla původní komunita uživatelů linuxu postupně nahrazena komunitou těch, kteří si myslí, že povoleno má být vše a odpovědnost nemá být žádná. Což je bohužel poněkud v rozporu s principem komunit nebo společenství, ale výsledky už jsou vidět dávno.
Luboš Doležel (Doli) avatar 9.2. 10:53 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tenhle XSS vám nepoškodí ani nenapadne PC víc než jakýkoliv jiný skript, co může někde být.
9.2. 11:01 marbu | skóre: 29 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Vzhledem k tomu, že ten útočník už našel jinou lepší chybu, nemyslím si, že bych mu tím nějak extra pomohl. A když už tu to vlákno o XSS jednou máme, může ten můj komentář pomoct spíš někomu ze správců, kdo to bude chtít řešit. Navíc Luboš to už jednou opravil, a tak mi přijde, že opravit to znovu by mělo být jednodušší než to co se tu řeší dnes.
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
9.2. 14:38 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Nikoli, útočník našel menší chybu, a teprve ta vaše nápověda by mu umožnila to pořádně využít. Nevím, jak by správcům mohlo pomoci upozornění na něco, o čem vědí. Ta chyba opravená nikdy nebyla.
9.2. 14:54 pete
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tak to je vrchol ubohosti, pokud je to něčí zodpovědnost, tak těch, co o zranitelnosti léta věděli a nic s tím neudělali. Neházej to na druhé, zbabělče.
9.2. 15:19 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Máte zabezpečený barák proti útoku tankem nebo třeba proti bombardování? Nebo spoléháte na to, že jsme ve střední Evropě a vyskytují se tu maximálně zloději, kteří překonají nějaký zámek, ale nesrovnají vám barák se zemí? Při zabezpečování jde vždy o to, co bude vyšší – zda náklady na zabezpečení nebo motivace útočníka. Nejlepší je to samozřejmě tam, kde si lidé mohou navzájem věřit a nemusí vyhazovat peníze na obranu.

Anonymně někoho označovat za zbabělce, to je vskutku statečný postoj.
9.2. 09:45 KOKOT7
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Koukam ze vas to hazi na root, asi vas konkurence taky miluje :-D
Jsem kokot a všeci mi to závidí
9.2. 09:46 KOKOT7
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Maji vas tam za nymandy. Uz i holky z mimibazaru se vam smejou, ze tu mate XSS :-D
Jsem kokot a všeci mi to závidí
9.2. 09:58 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Nikoli. Komunita kolem Abíčka ví o tom, že Abíčko má různé bezpečnostní chyby. To vám se smějou, protože neumíte nic jiného, než bořit – a ještě si vybíráte jako cíl útoku něco, co si přátelé udělali jen tak pro sebe, takže neměli potřebu to zabezpečovat.
9.2. 15:31 sad
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Aha, takže tohle je pomsta za to TO. Nicméně podávat TO jen kvůli komentářům, to je také docela zvláštní.

Tak tahle captcha je strašná!!!!!

Inspirujte se radši ulozto.cz
k3dAR avatar 9.2. 18:43 k3dAR | skóre: 51
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
jsou komentare a klmentarem petrfm za posledni rok pripagoval komunisticky/totalitni rezim, mel rasisticke,xenofobmi,urazlive komentate, nadaval jak tisic dlazdicu, podnecoval k nenavisti.., kdyz ale se zacal psychycky hroutit a zaclob sen to stupnova?? ze to zlehcujes je tvuj problem...
porad nemam telo, ale uz mam hlavu... nobody
9.2. 18:55 sad
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Snad to TO podával někdo gramotnější...
9.2. 19:18 sad
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tohle psal falešný sad.
k3dAR avatar 9.2. 20:40 k3dAR | skóre: 51
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
moje (ne)gramotnost nema nic spolecneho s preklepama na virtualni klavesnici v telefonu ;-) a ne, ja TO nepodaval...
porad nemam telo, ale uz mam hlavu... nobody
9.2. 22:27 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Ten XSS se dá brát jako pokus o krádež přihlašovacích údajů. V případě že by to byl adminský login, tak i třeba hesla a maily uživatelů apod.
9.2. 22:26 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Nicméně podávat TO jen kvůli komentářům, to je také docela zvláštní.
Změna v jeho chování byla natolik divná, že jsem měl podstatnou obavu o to, jak se projevuje v normálním životě (mj. s ohledem na to, že asi má děti). Já nemůžu rozlišit, jestli tu prostě jen píše sračky, nebo je nebezpečný sobě a/nebo okolí. Nedělám si iluze, že by mu za těch pár komentářů hrozil nějaký vážný postih (a ani bych z toho neměl žádný užitek). Teď už je zjevné, že nějaké duševní problémy má a můj odhad byl správný.

Mimochodem, o legitimní podání TO se tak úplně nejednalo. Upozornil jsem policii e-mailem a ta dodnes neodpověděla – ale to už není moje starost. Já udělal to, co mi přišlo, že jsem udělat měl, a dál už je to na nich. Pokud se domnívají, že to není třeba řešit, tak v pořádku. Už se nebudu muset cítit spoluzodpovědný v případě, že mu rupne v bedně úplně a začne se chovat agresivně, nebo co já vím.
tsLnox avatar 9.2. 21:21 tsLnox | skóre: 31 | blog: Blog jednoho ukecaného Gentoolemana | Žďár nad Sázavou
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Teď mě to redirectlo na ahaonline a v sekci Kdo je jsou natřískaný iframy s aha.cz nebo čím.
9.2. 21:23 robotekemil | skóre: 3
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Nevíš kdo je tam dal a jak je možné, že tam jdou dát? :-D
Luboš Doležel (Doli) avatar 9.2. 22:09 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tohle je totální minový pole. Ve zkratce jde o to, že skoro nikde ve zdrojácích Ábíčka se neescapují uživatelem zadané vstupy při jejich výpisu v šabloně, i když je to ve Freemarkeru otázka přidání ?html za proměnnou.

Všude se spoléhá na kontroly při vkládání (typu String.indexOf('<') != -1) a ty někde chybí. A pak jsou tam zrádnosti jako že Misc.filterDangerousCharacters() filtruje všelijaký nebezpečný rozsahy unicode, ale rozhodně neřeší <, takže při kontrole člověk mylně předpokládá, že to dělá něco jiného..
9.2. 22:25 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Poslední verze Freemarkeru to má dokonce opačně, výchozí je escapování a musí se mu explicitně říct, co escapovat nemá. Pro Abíčko to bohužel není řešení, protože v uživatelských datech je i markup, akorát někde není ošetřený.

Přemýšlím, co je teď pro Abíčko lepší – zda teď nechat petrfm, aby všechny ty XSS našel, nebo ke všem vloženým skriptům doplnit vypsání nonce a zapnout CSP.
9.2. 22:33 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Přemýšlím, co je teď pro Abíčko lepší – zda teď nechat petrfm, aby všechny ty XSS našel, nebo ke všem vloženým skriptům doplnit vypsání nonce a zapnout CSP.
Povolit v komentářích pouze "ook" a "eek" :-P

Jinak vážně: pokud to není nikde ošetřený, tak se to náhodnýma pokusama nenajde všechno. Nebo by to trvalo tak dlouho, že by tu už nikdo nezbyl.
9.2. 22:46 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Pokud si to dobře pamatuju, naopak to na spoustě míst ošetřený je (protože např. v komentářích by lidé „škodili“ ne proto, že by chtěli útočit, ale prostě by omylem něco napsali špatně), ale na méně používaných místech to ošetřené není, protože tenkrát nikdo nepočítal s tím, že by na Abíčko někdo záměrně útočil. A překvapivě to vydrželo hodně dlouho, premiéru si teď odbyl až petrfm. Dříve to občas někdo zkusil, ale nikdy takhle se záměrem vyloženě portálu systematicky škodit. Navíc těch míst, odkud může uživatel vkládat obsah, zase není tolik. A pokud to zůstane někde na nějaké zastrčen stránce, není to takový problém – problém je hlavně ten obsah, který se generuje na hlavní stránku.
Bedňa avatar 11.2. 22:13 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Ja to už nejaký čas riešim tak, že užívateľ môže vložiť úplne všetko a až samotné vykresľovanie stránky prevedie kontrolu. Takže sa to deje na jednom mieste a to sa už ustrážiť dá. Tak aj keď niekto nájde chybu, raz to oparvíš a máš to všade. No autori článkov, blogov a komentárov sa nemusia o nič starať a môžu pastovať priamo skripty.

Jo a ktomu čo si písal, že pred časom tu niekto XSS skúšal, ale ja som to robil ako White hat :) Teda len som na to upozornil.
KERNEL ULTRAS video channel >>>
11.2. 22:20 robotekemil | skóre: 3
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tak jako já. Nikdy jsem toho nezneužil.
11.2. 23:33 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
To je lež. Některé vaše vložené iframy nebo přesměrování jsou vidět v historii příslušných stránek.
11.2. 23:29 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Jo a ktomu čo si písal, že pred časom tu niekto XSS skúšal, ale ja som to robil ako White hat :) Teda len som na to upozornil.
Vždyť jsem také psal „zkoušel“ a ne „škodil“. Akorát by mi jako upozornění přišlo vhodnější oznámit to správcům a ne napsat to do veřejné diskuse a doufat, že si toho někdo všimne. I když je pravda, že kdyby to nebylo ve veřejné diskusi, nenarazil bych na to a nepřipravil tu opravu, která alespoň znemožnila čtení cookies z JavaScriptu.
Bedňa avatar 12.2. 19:15 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tak sám vidíš, že to zabralo :) Nejak som to napísal, v kontexte diskusie a nenapdalo ma to proste dať napr. Dolimu, pretože to je asi posledný človek, ktorý to tu udržuje.
KERNEL ULTRAS video channel >>>
19.2. 16:11 miho | skóre: 22 | blog: Mihovy_sochory | Orlová
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Na xxs zde na abclinuxu https://tinyurl.com/hfb3en4 a na diit https://tinyurl.com/zodzopt

jsem upozornil redakce již v dubnu minulého roku. Byl jsem poslán do prdele (ne doslova ale de facto ano) tak jsem to jen zveřejnil na svém twitteru a dál neřešil.

19.2. 20:02 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
To se vezme rovnou HTML v URL? o_O
Luboš Doležel (Doli) avatar 19.2. 21:02 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
To URL se dostane do exception message a ta se v šabloně se dále neescapuje, takže se dostane v nezměněné podobě do HTML kódu stránky. Opraveno.
19.2. 21:21 robotekemil | skóre: 3
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Necháváš si za ty opravy platit, nebo to děláš zdarma?
20.2. 13:16 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Jo takhle. Tak dík za opravu ;-).
20.2. 21:08 robotekemil | skóre: 3
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Webové aplikace nebudou tvůj šálek kávy, viď? :-)
20.2. 21:17 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
alert=1
20.2. 21:22 robotekemil | skóre: 3
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
LOL :-D

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.