Portál AbcLinuxu, 30. dubna 2025 09:08

Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
21.10.2016 06:58 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Odpovědět | Sbalit | Link | Blokovat | Admin
Čo je prekvapivé že na najznámejší "Reflected XSS" spravili obranu v prehliadačoch len Chrome a MSIE. V čom spočíva? Tak je to klassika, stačí do nefiltrovannej premmenej poslať reťazec napr.: http://domain.cz?data="><script>alert(document.cookie)</script>
Z toho popisu není moc zřejmé, v čem vlastně spočívá princip útoku. Jde o to, že server vezme zadaný text a tak jak je, bez nějaké úpravy nebo escapování, ho vloží do generované stránky. Tím pádem se ve vygenerované stránce objeví normální tag <script> a jeho obsah se vykoná.
skript odosiela sešny na útočníkov email
Pravděpodobně tím myslíte, že by útočník odeslal identifikátor session z cookie. Obvykle se do cookie ukládá pouze identifikátor a hodnoty svázané se session se drží na serveru. Každopádně tohle je možné jenom tehdy, pokud daná cookie nemá nastavený příznak HttpOnly.
môžete kľudne vyháčkovať aj tento server
A to jste zkoušel, nebo vás jenom nenapadlo, že by proti tomu server mohl být chráněný? Ono tedy Abíčko dlouho mělo jednu dost podstatnou chybu, kterou nikdo neřešil a kterou by bylo možné použít i k XSS, ale ta fungovala na jiném principu, než popisujete.
Bedňa avatar 21.10.2016 17:12 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Keď si chcieš pozrieť svoje Cookies, tak si tento odkaz:

http://www.abclinuxu.cz/blog/EditDiscussion/420264?action=add&dizId=<script>(document.cookie)</script>&threadId=1

vlož do adresného riadku, alebo si sprav web na lapanie užívateľov a uprav si ten skript, no a nasmeruj ich tam.

KERNEL ULTRAS video channel >>>
21.10.2016 17:34 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Chyba aplikace

Omlouváme se, ale systém nemohl provést zadanou akci. Chyba byla zalogována, nicméně váš slovní popis může být někdy velmi užitečný. Máte-li zájem nám pomoci, využijte formulář Vzkazy správcům.

Název chyby: cz.abclinuxu.AbcException: Řetězec '' nemůže být převeden na číslo!
Kde přesně je tam ta cookie?
Bedňa avatar 21.10.2016 18:14 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Aký prehliadač si použil?
KERNEL ULTRAS video channel >>>
21.10.2016 20:47 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Já Firefox. Sice tam mám NoScript, ale tohle evidentně chcíplo ještě na serveru.

No a co teď koukám, tak Chromium bez pluginů a s povoleným skriptováním je na tom stejně...
Bedňa avatar 21.10.2016 20:57 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Jasne, som to sem hádzal s NTB poceste a je to úplne zle, fixed:

http://www.abclinuxu.cz/blog/EditDiscussion/420264?action=add&dizId="><script>alert(document.cookie)</script>"&threadId=1
KERNEL ULTRAS video channel >>>
21.10.2016 23:04 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Ve Firefoxu mi NoScript nahlásil pokus o XSS, Chromium vyhazuje stejnou hlášku od serveru jako předtím. Na Firefox bez NoScriptu by to asi fungovalo...
Bedňa avatar 21.10.2016 23:34 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Jj na FF by to prešlo, Chromium sleduje aký skript posielaš na server a keď sa mu vráti, tak ho zahodí, pointa Reflected XSS je práve vo vrátení skriptu a jeho spustení. Pre Chromium by trebalo použiť nejaký morfing, možno nejaké špeciálne UTF znaky, nikdy som to ale neskúšal.
KERNEL ULTRAS video channel >>>
22.10.2016 09:10 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Aha, neošetřený vstup na chybové stránce. To je docela častý případ. Pošlu Maxovi patch. Každopádně pro reálný útok to není moc praktické, když se uživateli zobrazí chybová stránka a pošle e-mail správcům. Chyba to ale samozřejmě je.
Bedňa avatar 23.10.2016 03:35 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Ono by to šlo to použiť, samozrejme by nato niekto prišiel. Ja som to skúšal len náhodne a neskúsil som spustiť žiadny logger aby som toho našiel viac, práve na toto je CSP, že to rieši za teba a nemusíš takéto ptákoviny riešiť a buď si istý, že vždy na niečo zabudneš.
KERNEL ULTRAS video channel >>>
23.10.2016 09:12 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Pokud vždycky na něco zapomenu, mám daleko větší problém – na úplně stejném principu funguje třeba SQL injection. Ve skutečnosti je lepší používat postupy a nástroje, u kterých se musím aktivně snažit, abych někde použil nevalidovaný vstup od uživatele. Freemarker, který se používá na Abíčku, už má v aktuální verzi také automatické escapování HTML, a v šabloně musím naopak explicitně říct, že daný text escapovat nemá. Proti krádeži cookies z JavaScriptu je nejlepší nastavit jim příznak HttpOnly. CSP není řešení, je to pojistka pro případ, kdy to nedokážu vyřešit správně.
Bedňa avatar 23.10.2016 16:55 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Jasne že je to poistka a nie rešenie a hlavne u projektov ktoré rastú, pretože sa ti ľahko stane, že pridaním novej funkcionality omylom obídeš vstupné zabezpečenie. Keď to tu už máme prečo to nevyužiť.
KERNEL ULTRAS video channel >>>
25.10.2016 17:08 skajrajdr | skóre: 2 | blog: skajrajdr
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Nevim, jestli to neni jen preklep, ale tohle(SQL injection je neco jineho) resit na vstupu je chyba a cesta do pekel... Hlidat se musi vystup dle daneho kontextu(nejak jinak osetrim html a jinak zapis do souboru).

Ale technika je to zajimava, o tom zadna. Dik!

24.12.2016 09:43 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Max v noci patch nasadil, takže máte po zábavě :-)
mirec avatar 21.10.2016 11:41 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Odpovědět | Sbalit | Link | Blokovat | Admin

Čo na to markeťáci?

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
Bedňa avatar 21.10.2016 18:15 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Tým to bude asi jedno :)
KERNEL ULTRAS video channel >>>
mirec avatar 22.10.2016 07:26 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...

Reklama sa väčšinou vkladá ako cudzí JavaScript. Markeťákom asi nebude jedno, že im reklama nefunguje.

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon
Bedňa avatar 22.10.2016 15:48 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Externé lokality môžeš povoliť, čím sa ale sám vystavuješ svojvôli nejakej tretej strany.
KERNEL ULTRAS video channel >>>
21.10.2016 15:53 MP
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Odpovědět | Sbalit | Link | Blokovat | Admin
Vazne dokazete do stranky vlozit veskere externi skripty, z kterych se stranka muze skladat?
Bedňa avatar 21.10.2016 21:59 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Content Security Policy (CSP) - XSS ...
Taká tupá taktika je že robot zoskenuje všetky formuláre a pokúsi sa tam skripty vložiť, druhá možnosť je skúsiť všetky premenné ktoré sú na stránke v URL a testovať či sa skript nespustí. Na najznámejšie CMS sú samozrejme roboti ktorí skúšajú všetky známe bugy a môžeš si byť istý, že nezanedbateľná časť webov beží na neaktualizovaných CMS.

Práve proti týmto detským bugom CSP zaberie spoľahlivo.
KERNEL ULTRAS video channel >>>

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.