abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 20:22 | Nová verze

Po dvou měsících vývoje od vydání verze 6.0.0 byla oficiálně vydána nová verze 6.1.0 správce digitálních fotografií a nově i videí digiKam (digiKam Software Collection, Wikipedie). Přehled novinek i s náhledy v oficiálním oznámení. Vývojáři zdůrazňují nové API pro rozšíření DPlugins nahrazující KIPI. Ke stažení je také balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

Ladislav Hagara | Komentářů: 0
včera 19:55 | Nová verze

Byla vydána verze 1.16.0, tj. první stabilní verze nové řady 1.16, multiplatformního multimediálního frameworku GStreamer (Wikipedie). Z novinek lze zdůraznit vylepšení podpory WebRTC nebo AV1. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 11:55 | Nová verze

Po více než 3 letech od vydání verze 1.3.0 byla vydána nová stabilní verze 1.4 multimediálního přehrávače MPlayer (Wikipedie). Nejnovější verze přináší kompatibilitu s verzí 4.1 a také s aktuální vývojovou verzí multiplatformní multimediální knihovny FFmpeg (Wikipedie).

Ladislav Hagara | Komentářů: 12
18.4. 23:55 | Komunita

Mozilla oznámila, že projekt Things byl přejmenován na WebThings. Nové jméno by mělo zdůraznit, že se nejedná pouze o projekt IoT (Internet věcí), ale o WoT (Web věcí). Současně byla vydána WebThings Gateway (GitHub) ve verzi 0.8 pro Raspberry Pi.

Ladislav Hagara | Komentářů: 0
18.4. 21:11 | Nová verze

Byl vydán balík KDE Aplikace ve verzi 19.04. Shrnuje práce za poslední čtyři měsíce: opravy chyb, mj. ve správci souborů Dolphin, prohlížeči dokumentů (nejen PDF) Okular nebo prohlížeči obrázků Gwenview – tyto dostaly např. lepší podporu dotykových obrazovek. Významného přepracování se dočkal editor videa Kdenlive.

Fluttershy, yay! | Komentářů: 3
18.4. 16:22 | Nová verze

Byla vydána verze 19.04 linuxové distribuce Ubuntu a oficiálních odnoží Ubuntu Budgie, Kubuntu, Lubuntu, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio a Xubuntu. Kódový název Ubuntu 19.04 je Disco Dingo. Přehled novinek a odkazy ke stažení v poznámkách k vydání. Ubuntu 19.04 bude podporováno 9 měsíců, tj. do ledna 2020.

Ladislav Hagara | Komentářů: 8
18.4. 09:55 | Nová verze

Byla vydána verze 8.0 sady aplikací pro SSH komunikaci OpenSSH. Řešena je bezpečnostní chyba CVE-2019-6111 v scp. Přidána byla experimentální podpora výměny klíčů, která je odolná vůči kvantovým počítačům (Streamlined NTRU Prime 4591^761 a X25519). Výchozí délka nově generovaných RSA klíčů je 3072 bitů.

Ladislav Hagara | Komentářů: 0
17.4. 22:44 | Komunita

Zend Framework, open source objektově orientovaný webový aplikační framework implementovaný v PHP, byl předán neziskovému technologickému konsorciu Linux Foundation. Framework se pod novým názvem Laminas v průběhu několika měsíců stane oficiálním projektem konsorcia.

Ladislav Hagara | Komentářů: 4
17.4. 22:00 | Komunita

Gentoo Foundation a společnost Nitrokey společně oznámily, že všichni vývojáři linuxové distribuce Gentoo budou vybaveni kryptografickým tokenem Nitrokey Pro 2 (pdf). Vývojáři se mají zaregistrovat s emailovou adresou @gentoo.org.

Ladislav Hagara | Komentářů: 0
17.4. 20:55 | Zajímavý software

Článek na PIXLS.US představuje svobodný program pro zpracování astronomických fotografií s názvem Siril (GitLab) a uvádí postup, jak v Siril vytvořit hezký snímek noční oblohy.

Ladislav Hagara | Komentářů: 0
Používáte headset pro virtuální realitu?
 (1%)
 (3%)
 (1%)
 (20%)
 (0%)
 (74%)
Celkem 210 hlasů
 Komentářů: 12, poslední 18.4. 01:19
Rozcestník

Portál

Skupina se věnuje tomuto portálu z pohledu uživatelů i správců. Probírají se zde funkce abíčka, srazy, najdete zde nápovědu.
Informace o skupině
Založena: 9. 9. 2008
Členů: 27
Článků: 0
Wiki stránek: 14
Dotazů: 146
Akcí: 0
Čtenost: 100 %
Skóre: 35

Dotaz: XSS na Abclinuxu

8.2.2018 23:50 ehm
XSS na Abclinuxu
Přečteno: 3877×
Přílohy:
Na Abclinuxu někdo očividně objevil a využil XSS. Přikládám screenshot. Otevřete si zdrojový kód stránky a dejte CTRL+F "alert"...

Asi je dobrý nápad se odhlásit (a doufat, že to dropne session ID i na serveru). A pokud za tím stojí člověk, který si myslím, že za tím stojí, tak už fakt prosím provozovatele portálu, aby podal trestní oznámení. Osobně jsem už před několika týdny policii elektronickou formou upozornil na některé jeho komentáře, protože to už bylo těžce za hranou.

Odpovědi

9.2.2018 00:03 .
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Hlavně se z toho neposrat a dát si web dopořádku. Bylo načase
9.2.2018 00:53 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Zkusit odhalit chybu je jedna věc. Psát urážlivé příspěvky, spamovat, vyhrožovat zničením portálu a nakonec se pokusit exploitnout nějakou zranitelnost a tvářit se u toho, že nám všem vlastně děláš nějakou službu, je věc druhá.

Pokud si chceš napravit reputaci, nejlepší, co můžeš udělat, je omluvit se, začít se chovat normálně (nebo úplně zmizet) a doufat, že se na tohle co nejrychleji zapomene.
Blaazen avatar 9.2.2018 00:41 Blaazen | skóre: 22 | blog: BL
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Já vidím v kategorii "Slovník" přidané heslo "debil" a v "Kdo je" položku "aa bb".
9.2.2018 01:09 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Ano. Ty skripty už asi někdo z adminů odstranil.
9.2.2018 02:48 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tak to vypadá, že to odstranil dotyčný sám. Viz první revize toho hesla ve slovníku.

Dokud nebude ta chyba zazáplatována, je potřeba mít na Abclinuxu zablokovaný JavaScript. Používate-li Chrome, mohu doporučit No-Script Suite Lite. Obzvlášť to platí u adminů. Tam by krádež cookies mohla mít fatální následky.

Ještě dodávám, že ten skript se spouštěl i na titulní straně. Je to fakt velmi závažná bezpečnostní chyba.
9.2.2018 08:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Dokud nebude ta chyba zazáplatována, je potřeba mít na Abclinuxu zablokovaný JavaScript.
Útočník by mohl maximálně tak jménem uživatele postnout z JavaScriptu nějaké příspěvky.
Tam by krádež cookies mohla mít fatální následky.
Akorát že přihlašovací cookies na Abíčku už mají nějakou dobu nastavený atribut HTTPonly.
Je to fakt velmi závažná bezpečnostní chyba.
Ani bych neřekl.
9.2.2018 08:34 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Útočník by mohl maximálně tak jménem uživatele postnout z JavaScriptu nějaké příspěvky.
Mazat nemůže?
Akorát že přihlašovací cookies na Abíčku už mají nějakou dobu nastavený atribut HTTPonly.
Aha, to jsem nevěděl (a dokonce jsem takový atribut ani neznal). To tedy krádež session snad vylučuje.
Ani bych neřekl.
Je to méně závažné než jsem si myslel (s ohledem na ten atribut HTTPonly), ale i byť jen možnost postovat pod cizím jménem mi docela závažná přijde.
9.2.2018 09:09 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Mazat nemůže?
Může jenom to, co uživatel.
To tedy krádež session snad vylučuje.
Vylučuje, proto jsem před pár lety ten patch posílal, když si tu tenkrát někdo začal hrát s XSS.
byť jen možnost postovat pod cizím jménem mi docela závažná přijde
Může vložit skript, který se provede tam, kde se používá (v tomto případě) název hesla ze slovníku. Je to jeden společný skript pro všechny, pokud by chtěl něco vložit jménem konkrétního uživatele, musí si v tom skriptu zjistit, zda je to právě přihlášený uživatel, pak zvolit třeba nějaké časové rozmezí (aby se to za daného uživatele vložilo jen několikrát a ne pořád dokola), a vkládaný text opět musí být napevno součástí toho skriptu (může jich tam být víc, ale stále omezené množství). Navíc ten skript bude uložený v historii daného slovníkového hesla, stačí si pak z databáze vyjet všechna hesla vytvořená v poslední době, která obsahují <script.

Z možných bezpečnostních chyb je tenhle typ chyby méně závažný. XSS chyb bude na Abíčku pravděpodobně o dost víc, v době, kdy Abíčko vzniklo, se takovéhle věci neřešily – tenkrát se to bralo, že si přece nebudeme škodit navzájem. Dneska by to určitě chtělo na Abíčko nasadit CSP, jenže to není jen otázka nastavení jednoho příznaku, protože Abíčko používá i dost inline skriptů.

Bohužel to jenom potvrzuje, že když se nechá „svoboda“ malým trollům, přitáhnou za nimi větší trollové a po nich ti, kteří už chtějí jenom škodit a nijak se s tím netají.
9.2.2018 10:00 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Může jenom to, co uživatel.
Přístup pro adminy je úplně oddělený, nebo...?
Je to jeden společný skript pro všechny, pokud by chtěl něco vložit jménem konkrétního uživatele, musí si v tom skriptu zjistit, zda je to právě přihlášený uživatel, pak zvolit třeba nějaké časové rozmezí (aby se to za daného uživatele vložilo jen několikrát a ne pořád dokola), a vkládaný text opět musí být napevno součástí toho skriptu (může jich tam být víc, ale stále omezené množství).
Spammerovi je to jedno (naopak by to možná ještě narval do cyklu).
Bohužel to jenom potvrzuje, že když se nechá „svoboda“ malým trollům, přitáhnou za nimi větší trollové a po nich ti, kteří už chtějí jenom škodit a nijak se s tím netají.
Nevím, jak to mám chápat. V komunitách, kde je nízká tolerance vůči trollům se objevuje méně záškodníků, protože od počátku vidí, že se daleko nedostanou? Z hlediska projevování se asi ano, ale nemyslím si, že by to někoho odradilo od hledání bezpečnostních chyb (naopak by to jejich hledání možná vyprovokovalo ještě víc). Ale nepřijde mi to podstatné.
9.2.2018 10:23 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Přístup pro adminy je úplně oddělený, nebo...?
Bylo to myšleno tak, že vložený JavaScript může dělat jenom to, co může dělat přihlášený uživatel, u kterého ten skript běží. Admini si teď holt musí dávat pozor.
Nevím, jak to mám chápat. V komunitách, kde je nízká tolerance vůči trollům se objevuje méně záškodníků, protože od počátku vidí, že se daleko nedostanou?
Ano.
nemyslím si, že by to někoho odradilo od hledání bezpečnostních chyb (naopak by to jejich hledání možná vyprovokovalo ještě víc)
Tady nejde o hledání bezpečnostních chyb, ale o jejich zneužívání. Komunita lidí kolem portálu o těch chybách ví, některý z trollů občas něco z legrace zkusil, bylo to třeba nepříjemné, ale nikdy to nebylo dělané s cílem útočit nebo něco ničit. S úmyslem ničit toho začal zneužívat až petrfm. Za ty léta je vidět, jak se to postupně zhoršuje – nejprve jen napadání v konkrétních diskusích, pak opakované napadání konkrétních lidí, pak ruční tapetování diskusí a teď už skripty. A vždy to někdo obhajoval tím, že je to přece svoboda slova a to je to nejdůležitější a to zajišťuje svobodnou diskusi. No, tak teď už je snad každému jasné, že v diskusi je to úplně stejné, jako ve sportu – skutečnou diskusi nebo skutečné sportovní utkání nezajistí to, že se bude „hrát“ bez pravidel, ale právě naopak, funguje to jedině tehdy, pokud se pravidla dodržují.
14.2.2018 14:49 .
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Ani bych neřekl.
To já teda jo, ale ty tomu rozumíš, že?
9.2.2018 09:39 KOKOT7
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
To mu ale zase nepojede ta nova CAPTCHA :-D LOL
Jsem kokot a všeci mi to závidí
9.2.2018 10:05 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Captcha se týká jen neregistrovaných uživatelů.
9.2.2018 10:06 hmm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Takže neregistrovaným nemusí vadit XSS útok zde na webu? Jo aha, to není komunita kolem abíčka, ti jsou vám u prdele, že?
Luboš Doležel (Doli) avatar 9.2.2018 09:13 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Vypadá to, že tím trpí sekce Slovník a Software, a to jen v titulku objektu.
9.2.2018 09:27 marbu | skóre: 30 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
9.2.2018 09:51 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Ano, to je výborný nápad, napovídat útočníkovi, co ještě může zneužít.
9.2.2018 09:53 KOKOT7
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Vy šulíni. Takže vy máte děravý web a vystavujete tak jeho návštěvníky riziku poškození nebo napadení jejich PC a místo abyste byli rádi že vás na to někdo upozorní, ještě budete remcat?

Vy si to fakt asi zasloužíte.
Jsem kokot a všeci mi to závidí
9.2.2018 10:02 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Já dnes s Abíčkem nemám nic společného. Pokud by webový prohlížeč umožnil skrze webovou stránku poškodit nebo napadnout PC, je to chyba toho prohlížeče. Nevím, proč by někdo měl být rád za to, že ho někdo upozorní na něco, co už dávno ví. Jediné, na co tady upozorňujete, je to, že jste si přezdívku zvolil správně.
9.2.2018 10:04 hmm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Takže pokrytci?
9.2.2018 10:33 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
V čem? Abíčko bylo původně komunitní portál. Zahrádkáři si taky mezi sebou věří a nemá každý svoji mrkev přivázanou řetězem, aby mu ji kolega od vedle neukradl. Akorát byla původní komunita uživatelů linuxu postupně nahrazena komunitou těch, kteří si myslí, že povoleno má být vše a odpovědnost nemá být žádná. Což je bohužel poněkud v rozporu s principem komunit nebo společenství, ale výsledky už jsou vidět dávno.
Luboš Doležel (Doli) avatar 9.2.2018 10:53 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tenhle XSS vám nepoškodí ani nenapadne PC víc než jakýkoliv jiný skript, co může někde být.
9.2.2018 11:01 marbu | skóre: 30 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Vzhledem k tomu, že ten útočník už našel jinou lepší chybu, nemyslím si, že bych mu tím nějak extra pomohl. A když už tu to vlákno o XSS jednou máme, může ten můj komentář pomoct spíš někomu ze správců, kdo to bude chtít řešit. Navíc Luboš to už jednou opravil, a tak mi přijde, že opravit to znovu by mělo být jednodušší než to co se tu řeší dnes.
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
9.2.2018 14:38 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Nikoli, útočník našel menší chybu, a teprve ta vaše nápověda by mu umožnila to pořádně využít. Nevím, jak by správcům mohlo pomoci upozornění na něco, o čem vědí. Ta chyba opravená nikdy nebyla.
9.2.2018 14:54 pete
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tak to je vrchol ubohosti, pokud je to něčí zodpovědnost, tak těch, co o zranitelnosti léta věděli a nic s tím neudělali. Neházej to na druhé, zbabělče.
9.2.2018 15:19 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Máte zabezpečený barák proti útoku tankem nebo třeba proti bombardování? Nebo spoléháte na to, že jsme ve střední Evropě a vyskytují se tu maximálně zloději, kteří překonají nějaký zámek, ale nesrovnají vám barák se zemí? Při zabezpečování jde vždy o to, co bude vyšší – zda náklady na zabezpečení nebo motivace útočníka. Nejlepší je to samozřejmě tam, kde si lidé mohou navzájem věřit a nemusí vyhazovat peníze na obranu.

Anonymně někoho označovat za zbabělce, to je vskutku statečný postoj.
9.2.2018 09:45 KOKOT7
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Koukam ze vas to hazi na root, asi vas konkurence taky miluje :-D
Jsem kokot a všeci mi to závidí
9.2.2018 09:46 KOKOT7
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Maji vas tam za nymandy. Uz i holky z mimibazaru se vam smejou, ze tu mate XSS :-D
Jsem kokot a všeci mi to závidí
9.2.2018 09:58 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Nikoli. Komunita kolem Abíčka ví o tom, že Abíčko má různé bezpečnostní chyby. To vám se smějou, protože neumíte nic jiného, než bořit – a ještě si vybíráte jako cíl útoku něco, co si přátelé udělali jen tak pro sebe, takže neměli potřebu to zabezpečovat.
9.2.2018 15:31 sad
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Aha, takže tohle je pomsta za to TO. Nicméně podávat TO jen kvůli komentářům, to je také docela zvláštní.

Tak tahle captcha je strašná!!!!!

Inspirujte se radši ulozto.cz
k3dAR avatar 9.2.2018 18:43 k3dAR | skóre: 53
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
jsou komentare a klmentarem petrfm za posledni rok pripagoval komunisticky/totalitni rezim, mel rasisticke,xenofobmi,urazlive komentate, nadaval jak tisic dlazdicu, podnecoval k nenavisti.., kdyz ale se zacal psychycky hroutit a zaclob sen to stupnova?? ze to zlehcujes je tvuj problem...
porad nemam telo, ale uz mam hlavu... nobody
9.2.2018 18:55 sad
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Snad to TO podával někdo gramotnější...
9.2.2018 19:18 sad
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tohle psal falešný sad.
k3dAR avatar 9.2.2018 20:40 k3dAR | skóre: 53
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
moje (ne)gramotnost nema nic spolecneho s preklepama na virtualni klavesnici v telefonu ;-) a ne, ja TO nepodaval...
porad nemam telo, ale uz mam hlavu... nobody
9.2.2018 22:27 pc2005 | skóre: 37 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Ten XSS se dá brát jako pokus o krádež přihlašovacích údajů. V případě že by to byl adminský login, tak i třeba hesla a maily uživatelů apod.
9.2.2018 22:26 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Nicméně podávat TO jen kvůli komentářům, to je také docela zvláštní.
Změna v jeho chování byla natolik divná, že jsem měl podstatnou obavu o to, jak se projevuje v normálním životě (mj. s ohledem na to, že asi má děti). Já nemůžu rozlišit, jestli tu prostě jen píše sračky, nebo je nebezpečný sobě a/nebo okolí. Nedělám si iluze, že by mu za těch pár komentářů hrozil nějaký vážný postih (a ani bych z toho neměl žádný užitek). Teď už je zjevné, že nějaké duševní problémy má a můj odhad byl správný.

Mimochodem, o legitimní podání TO se tak úplně nejednalo. Upozornil jsem policii e-mailem a ta dodnes neodpověděla – ale to už není moje starost. Já udělal to, co mi přišlo, že jsem udělat měl, a dál už je to na nich. Pokud se domnívají, že to není třeba řešit, tak v pořádku. Už se nebudu muset cítit spoluzodpovědný v případě, že mu rupne v bedně úplně a začne se chovat agresivně, nebo co já vím.
tsLnox avatar 9.2.2018 21:21 tsLnox | skóre: 31 | blog: Blog jednoho ukecaného Gentoolemana | Žďár nad Sázavou
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Teď mě to redirectlo na ahaonline a v sekci Kdo je jsou natřískaný iframy s aha.cz nebo čím.
9.2.2018 21:23 robotekemil | skóre: 3
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Nevíš kdo je tam dal a jak je možné, že tam jdou dát? :-D
Luboš Doležel (Doli) avatar 9.2.2018 22:09 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tohle je totální minový pole. Ve zkratce jde o to, že skoro nikde ve zdrojácích Ábíčka se neescapují uživatelem zadané vstupy při jejich výpisu v šabloně, i když je to ve Freemarkeru otázka přidání ?html za proměnnou.

Všude se spoléhá na kontroly při vkládání (typu String.indexOf('<') != -1) a ty někde chybí. A pak jsou tam zrádnosti jako že Misc.filterDangerousCharacters() filtruje všelijaký nebezpečný rozsahy unicode, ale rozhodně neřeší <, takže při kontrole člověk mylně předpokládá, že to dělá něco jiného..
9.2.2018 22:25 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Poslední verze Freemarkeru to má dokonce opačně, výchozí je escapování a musí se mu explicitně říct, co escapovat nemá. Pro Abíčko to bohužel není řešení, protože v uživatelských datech je i markup, akorát někde není ošetřený.

Přemýšlím, co je teď pro Abíčko lepší – zda teď nechat petrfm, aby všechny ty XSS našel, nebo ke všem vloženým skriptům doplnit vypsání nonce a zapnout CSP.
9.2.2018 22:33 pc2005 | skóre: 37 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Přemýšlím, co je teď pro Abíčko lepší – zda teď nechat petrfm, aby všechny ty XSS našel, nebo ke všem vloženým skriptům doplnit vypsání nonce a zapnout CSP.
Povolit v komentářích pouze "ook" a "eek" :-P

Jinak vážně: pokud to není nikde ošetřený, tak se to náhodnýma pokusama nenajde všechno. Nebo by to trvalo tak dlouho, že by tu už nikdo nezbyl.
9.2.2018 22:46 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Pokud si to dobře pamatuju, naopak to na spoustě míst ošetřený je (protože např. v komentářích by lidé „škodili“ ne proto, že by chtěli útočit, ale prostě by omylem něco napsali špatně), ale na méně používaných místech to ošetřené není, protože tenkrát nikdo nepočítal s tím, že by na Abíčko někdo záměrně útočil. A překvapivě to vydrželo hodně dlouho, premiéru si teď odbyl až petrfm. Dříve to občas někdo zkusil, ale nikdy takhle se záměrem vyloženě portálu systematicky škodit. Navíc těch míst, odkud může uživatel vkládat obsah, zase není tolik. A pokud to zůstane někde na nějaké zastrčen stránce, není to takový problém – problém je hlavně ten obsah, který se generuje na hlavní stránku.
Bedňa avatar 11.2.2018 22:13 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Ja to už nejaký čas riešim tak, že užívateľ môže vložiť úplne všetko a až samotné vykresľovanie stránky prevedie kontrolu. Takže sa to deje na jednom mieste a to sa už ustrážiť dá. Tak aj keď niekto nájde chybu, raz to oparvíš a máš to všade. No autori článkov, blogov a komentárov sa nemusia o nič starať a môžu pastovať priamo skripty.

Jo a ktomu čo si písal, že pred časom tu niekto XSS skúšal, ale ja som to robil ako White hat :) Teda len som na to upozornil.
KERNEL ULTRAS video channel >>>
11.2.2018 22:20 robotekemil | skóre: 3
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tak jako já. Nikdy jsem toho nezneužil.
11.2.2018 23:33 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
To je lež. Některé vaše vložené iframy nebo přesměrování jsou vidět v historii příslušných stránek.
11.2.2018 23:29 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Jo a ktomu čo si písal, že pred časom tu niekto XSS skúšal, ale ja som to robil ako White hat :) Teda len som na to upozornil.
Vždyť jsem také psal „zkoušel“ a ne „škodil“. Akorát by mi jako upozornění přišlo vhodnější oznámit to správcům a ne napsat to do veřejné diskuse a doufat, že si toho někdo všimne. I když je pravda, že kdyby to nebylo ve veřejné diskusi, nenarazil bych na to a nepřipravil tu opravu, která alespoň znemožnila čtení cookies z JavaScriptu.
Bedňa avatar 12.2.2018 19:15 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Tak sám vidíš, že to zabralo :) Nejak som to napísal, v kontexte diskusie a nenapdalo ma to proste dať napr. Dolimu, pretože to je asi posledný človek, ktorý to tu udržuje.
KERNEL ULTRAS video channel >>>
19.2.2018 16:11 miho | skóre: 22 | blog: Mihovy_sochory | Orlová
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Na xxs zde na abclinuxu https://tinyurl.com/hfb3en4 a na diit https://tinyurl.com/zodzopt

jsem upozornil redakce již v dubnu minulého roku. Byl jsem poslán do prdele (ne doslova ale de facto ano) tak jsem to jen zveřejnil na svém twitteru a dál neřešil.

19.2.2018 20:02 pc2005 | skóre: 37 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
To se vezme rovnou HTML v URL? o_O
Luboš Doležel (Doli) avatar 19.2.2018 21:02 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
To URL se dostane do exception message a ta se v šabloně se dále neescapuje, takže se dostane v nezměněné podobě do HTML kódu stránky. Opraveno.
19.2.2018 21:21 robotekemil | skóre: 3
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Necháváš si za ty opravy platit, nebo to děláš zdarma?
20.2.2018 13:16 pc2005 | skóre: 37 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Jo takhle. Tak dík za opravu ;-).
20.2.2018 21:08 robotekemil | skóre: 3
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
Webové aplikace nebudou tvůj šálek kávy, viď? :-)
20.2.2018 21:17 ehm
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
alert=1
20.2.2018 21:22 robotekemil | skóre: 3
Rozbalit Rozbalit vše Re: XSS na Abclinuxu
LOL :-D

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.