Content Security Policy (CSP) - XSS ... (diskuse)

Přihlášení | Registrace

napište » Zprávičky

dnes 13:44 | Upozornění

ČTK (Česká tisková kancelář) upozorňuje (X), že na jejím zpravodajském webu České noviny byly dnes dopoledne neznámým útočníkem umístěny dva smyšlené texty, které nepocházejí z její produkce. Jde o text s titulkem „BIS zabránila pokusu o atentát na nově zvoleného slovenského prezidenta Petra Pelligriniho“ a o údajné mimořádné prohlášení ministra Lipavského k témuž. Tyto dezinformace byly útočníky zveřejněny i s příslušnými notifikacemi v mobilní aplikaci Českých novin. ČTK ve svém zpravodajském servisu žádnou informaci v tomto znění nevydala.

Ladislav Hagara | Komentářů: 2

Open Home Foundation

dnes 13:33 | Komunita

Byla založena nadace Open Home Foundation zastřešující více než 240 projektů, standardů, ovladačů a knihoven (Home Assistant, ESPHome, Zigpy, Piper, Improv Wi-Fi, Wyoming, …) pro otevřenou chytrou domácnost s důrazem na soukromí, možnost výběru a udržitelnost.

Ladislav Hagara | Komentářů: 0

Meta Horizon OS

dnes 13:00 | Nová verze

Společnost Meta otevírá svůj operační systém Meta Horizon OS pro headsety pro virtuální a rozšířenou realitu. Vedle Meta Quest se bude používat i v připravovaných headsetech od Asusu a Lenova.

Ladislav Hagara | Komentářů: 0

Společnost Espressif získala většinový podíl ve společnosti M5Stack

dnes 04:33 | IT novinky

Společnost Espressif (ESP8266, ESP32, …) získala většinový podíl ve společnosti M5Stack, čímž posiluje ekosystém AIoT.

Ladislav Hagara | Komentářů: 0

Audacity 3.5 s podporou cloudu

včera 23:44 | Nová verze

Byla vydána nová stabilní verze 3.5 svobodného multiplatformního softwaru pro editování a nahrávání zvukových souborů Audacity (Wikipedie). Přehled novinek také na YouTube. Nově lze využívat cloud (audio.com). Ke stažení je oficiální AppImage. Zatím starší verze Audacity lze instalovat také z Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 0

50 let operačního systému CP/M

včera 16:44 | Zajímavý článek

50 let operačního systému CP/M, článek na webu Computer History Museum věnovaný operačnímu systému CP/M. Gary Kildall z Digital Research jej vytvořil v roce 1974.

Ladislav Hagara | Komentářů: 0

Prague PostgreSQL Developer Day 2024 / program a registrace

včera 16:22 | Pozvánky

Byl zveřejněn program a spuštěna registrace na letošní konferenci Prague PostgreSQL Developer Day, která se koná 4. a 5. června. Na programu jsou 4 workshopy a 8 přednášek na různá témata o PostgreSQL, od konfigurace a zálohování po využití pro AI a vector search. Stejně jako v předchozích letech se konference koná v prostorách FIT ČVUT v Praze.

TomasVondra | Komentářů: 0

Po 48 letech Zilog končí s výrobou 8bitového mikroprocesoru Zilog Z80

včera 03:00 | IT novinky

Po 48 letech Zilog končí s výrobou 8bitového mikroprocesoru Zilog Z80 (Z84C00 Z80). Mikroprocesor byl uveden na trh v červenci 1976. Poslední objednávky jsou přijímány do 14. června [pdf].

Ladislav Hagara | Komentářů: 6

Kingdom Come: Deliverance II

včera 02:00 | IT novinky

Ještě letos vyjde Kingdom Come: Deliverance II (YouTube), pokračování počítačové hry Kingdom Come: Deliverance (Wikipedie, ProtonDB Gold).

Ladislav Hagara | Komentářů: 6

Thunderbird 128 přijde s nativní podporou Exchange napsanou v Rustu

21.4. 19:11 | Komunita

Thunderbird 128, příští major verze naplánovaná na červenec, přijde s nativní podporou Exchange napsanou v Rustu.

Ladislav Hagara | Komentářů: 28

Centrum | Napsat | Starší

navrhněte » Anketa

KDE Plasma 6

už používám (71%)

čekám, až se dostane do mé distibuce (10%)

čekám na pozdější vydání v řadě (2%)

preferuji jiné desktopové prostředí (18%)

Celkem 679 hlasů

Komentářů: 4, poslední 6.4. 15:51

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Blogy / Žumpa / Content Security Policy (CSP) - XSS ... / Content Security Policy (CSP) - XSS ... (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (2) ?

Vložit další komentář

21.10.2016 06:58 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Odpovědět | Sbalit | Link | Blokovat | Admin

Čo je prekvapivé že na najznámejší "Reflected XSS" spravili obranu v prehliadačoch len Chrome a MSIE. V čom spočíva? Tak je to klassika, stačí do nefiltrovannej premmenej poslať reťazec napr.: http://domain.cz?data="><script>alert(document.cookie)</script>

Z toho popisu není moc zřejmé, v čem vlastně spočívá princip útoku. Jde o to, že server vezme zadaný text a tak jak je, bez nějaké úpravy nebo escapování, ho vloží do generované stránky. Tím pádem se ve vygenerované stránce objeví normální tag <script> a jeho obsah se vykoná.

skript odosiela sešny na útočníkov email

Pravděpodobně tím myslíte, že by útočník odeslal identifikátor session z cookie. Obvykle se do cookie ukládá pouze identifikátor a hodnoty svázané se session se drží na serveru. Každopádně tohle je možné jenom tehdy, pokud daná cookie nemá nastavený příznak HttpOnly.

môžete kľudne vyháčkovať aj tento server

A to jste zkoušel, nebo vás jenom nenapadlo, že by proti tomu server mohl být chráněný? Ono tedy Abíčko dlouho mělo jednu dost podstatnou chybu, kterou nikdo neřešil a kterou by bylo možné použít i k XSS, ale ta fungovala na jiném principu, než popisujete.

21.10.2016 17:12 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Keď si chcieš pozrieť svoje Cookies, tak si tento odkaz:

http://www.abclinuxu.cz/blog/EditDiscussion/420264?action=add&dizId=<script>(document.cookie)</script>&threadId=1

vlož do adresného riadku, alebo si sprav web na lapanie užívateľov a uprav si ten skript, no a nasmeruj ich tam.

KERNEL ULTRAS video channel >>>

21.10.2016 17:34 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Chyba aplikace
Omlouváme se, ale systém nemohl provést zadanou akci. Chyba byla zalogována, nicméně váš slovní popis může být někdy velmi užitečný. Máte-li zájem nám pomoci, využijte formulář Vzkazy správcům.
Název chyby: cz.abclinuxu.AbcException: Řetězec '' nemůže být převeden na číslo!

Kde přesně je tam ta cookie?

21.10.2016 18:14 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Aký prehliadač si použil?

KERNEL ULTRAS video channel >>>

21.10.2016 20:47 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Já Firefox. Sice tam mám NoScript, ale tohle evidentně chcíplo ještě na serveru.

No a co teď koukám, tak Chromium bez pluginů a s povoleným skriptováním je na tom stejně...

21.10.2016 20:57 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Jasne, som to sem hádzal s NTB poceste a je to úplne zle, fixed:

http://www.abclinuxu.cz/blog/EditDiscussion/420264?action=add&dizId="><script>alert(document.cookie)</script>"&threadId=1

KERNEL ULTRAS video channel >>>

21.10.2016 23:04 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Ve Firefoxu mi NoScript nahlásil pokus o XSS, Chromium vyhazuje stejnou hlášku od serveru jako předtím. Na Firefox bez NoScriptu by to asi fungovalo...

21.10.2016 23:34 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Jj na FF by to prešlo, Chromium sleduje aký skript posielaš na server a keď sa mu vráti, tak ho zahodí, pointa Reflected XSS je práve vo vrátení skriptu a jeho spustení. Pre Chromium by trebalo použiť nejaký morfing, možno nejaké špeciálne UTF znaky, nikdy som to ale neskúšal.

KERNEL ULTRAS video channel >>>

22.10.2016 09:10 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Aha, neošetřený vstup na chybové stránce. To je docela častý případ. Pošlu Maxovi patch. Každopádně pro reálný útok to není moc praktické, když se uživateli zobrazí chybová stránka a pošle e-mail správcům. Chyba to ale samozřejmě je.

23.10.2016 03:35 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Ono by to šlo to použiť, samozrejme by nato niekto prišiel. Ja som to skúšal len náhodne a neskúsil som spustiť žiadny logger aby som toho našiel viac, práve na toto je CSP, že to rieši za teba a nemusíš takéto ptákoviny riešiť a buď si istý, že vždy na niečo zabudneš.

KERNEL ULTRAS video channel >>>

23.10.2016 09:12 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Pokud vždycky na něco zapomenu, mám daleko větší problém – na úplně stejném principu funguje třeba SQL injection. Ve skutečnosti je lepší používat postupy a nástroje, u kterých se musím aktivně snažit, abych někde použil nevalidovaný vstup od uživatele. Freemarker, který se používá na Abíčku, už má v aktuální verzi také automatické escapování HTML, a v šabloně musím naopak explicitně říct, že daný text escapovat nemá. Proti krádeži cookies z JavaScriptu je nejlepší nastavit jim příznak HttpOnly. CSP není řešení, je to pojistka pro případ, kdy to nedokážu vyřešit správně.

23.10.2016 16:55 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Jasne že je to poistka a nie rešenie a hlavne u projektov ktoré rastú, pretože sa ti ľahko stane, že pridaním novej funkcionality omylom obídeš vstupné zabezpečenie. Keď to tu už máme prečo to nevyužiť.

KERNEL ULTRAS video channel >>>

25.10.2016 17:08 skajrajdr | skóre: 2 | blog: skajrajdr
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Nevim, jestli to neni jen preklep, ale tohle(SQL injection je neco jineho) resit na vstupu je chyba a cesta do pekel... Hlidat se musi vystup dle daneho kontextu(nejak jinak osetrim html a jinak zapis do souboru).

Ale technika je to zajimava, o tom zadna. Dik!

24.12.2016 09:43 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Max v noci patch nasadil, takže máte po zábavě :-)

21.10.2016 11:41 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Odpovědět | Sbalit | Link | Blokovat | Admin

Čo na to markeťáci?

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon

21.10.2016 18:15 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Tým to bude asi jedno :)

KERNEL ULTRAS video channel >>>

22.10.2016 07:26 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Reklama sa väčšinou vkladá ako cudzí JavaScript. Markeťákom asi nebude jedno, že im reklama nefunguje.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon

22.10.2016 15:48 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Externé lokality môžeš povoliť, čím sa ale sám vystavuješ svojvôli nejakej tretej strany.

KERNEL ULTRAS video channel >>>

21.10.2016 15:53 MP
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Odpovědět | Sbalit | Link | Blokovat | Admin

Vazne dokazete do stranky vlozit veskere externi skripty, z kterych se stranka muze skladat?

21.10.2016 21:59 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Taká tupá taktika je že robot zoskenuje všetky formuláre a pokúsi sa tam skripty vložiť, druhá možnosť je skúsiť všetky premenné ktoré sú na stránke v URL a testovať či sa skript nespustí. Na najznámejšie CMS sú samozrejme roboti ktorí skúšajú všetky známe bugy a môžeš si byť istý, že nezanedbateľná časť webov beží na neaktualizovaných CMS.

Práve proti týmto detským bugom CSP zaberie spoľahlivo.

KERNEL ULTRAS video channel >>>

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje