abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 19:33 | Zajímavý článek Marek Stopka | Komentářů: 14
včera 17:55 | Nová verze

Bylo oznámeno vydání nové verze 3.0.0 a krátce na to opravných verzí 3.0.1 a 3.0.2 nástroje mitmproxy určeného pro vytváření interaktivních MITM proxy pro HTTP a HTTPS komunikaci. Přehled novinek v příspěvku na blogu. Přispělo 56 vývojářů. Aktualizována byla také dokumentace [Hacker News].

Ladislav Hagara | Komentářů: 0
včera 01:11 | Nová verze

Byla vydána nová major verze 3.0 svobodného multiplatformního geografického informačního systému QGIS (Wikipedie). Její kódové jméno je Girona, dle názvu města, ve kterém proběhlo 15. setkání vývojářů QGISu. Přehled novinek i s náhledy a animacemi v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
23.2. 20:33 | Zajímavý článek

Nadace Raspberry Pi vydala sedmašedesáté číslo (pdf) anglicky psaného časopisu MagPi věnovanému Raspberry Pi a projektům postaveným na tomto jednodeskovém počítači a čtvrté číslo (pdf) časopisu pro kutily HackSpace věnovanému navíc 3D tisku, pájení, řezání nebo i elektronice a IoT.

Ladislav Hagara | Komentářů: 0
23.2. 18:33 | Komunita

Morevna Project, který stojí za řadou svobodného softwaru pro animátory (např. Synfig Studio, RenderChan nebo Papagayo-NG) a svobodnými (CC-BY-SA) animovanými filmy/komiksy Morevna (3. díl) a Pepper&Carrot: The Potion Contest (6. díl), sbírá do 1. března příspěvky na 4. díl svého animovaného filmu Morevna. Mezi odměnami přispěvatelům lze najít např. i videokurzy animace v Synfigu či Blenderu.

xHire | Komentářů: 0
23.2. 12:22 | Bezpečnostní upozornění

Ve středu vydaná "npm@next" verze 5.7.0 správce balíčků pro JavaScript npm (Wikipedie, Node Package Manager) přinesla řadě uživatelů Linuxu nečekanou nepříjemnost. V závislosti na způsobu instalace a ve spojení s příkazem sudo mohlo dojít ke změně vlastníka u systémových souborů, také například /. Chyba je opravena v před několika hodinami vydané verzi npm 5.7.1 [reddit].

Ladislav Hagara | Komentářů: 14
23.2. 10:00 | Nová verze

Byla vydána verze 10.5 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností v příspěvku na blogu. Zdůraznit lze integrovanou podporu Let's Encrypt.

Ladislav Hagara | Komentářů: 0
22.2. 12:33 | Komunita

Příspěvek na blogu Signalu (Wikipedie) informuje o založení neziskové nadace Signal Foundation, jež bude zastřešovat další vývoj tohoto svobodného bezpečného komunikátoru běžícího také na Linuxu (Signal Desktop). Brian Acton, spoluzakladatel WhatsAppu, věnoval nadaci 50 milionů dolarů [Hacker News].

Ladislav Hagara | Komentářů: 1
22.2. 05:55 | Zajímavý článek

Článek na Fedora Magazine krátce představuje programovací jazyk Rust a několik zajímavých v Rustu naprogramovaných terminálových aplikací. Jedná se o alternativu k příkazu grep ripgrep, moderní barevnou alternativu k příkazu ls exa, příkazem cloc inspirovaný tokei a zvířátko v terminálu ternimal.

Ladislav Hagara | Komentářů: 0
21.2. 23:55 | Zajímavý projekt

Byl spuštěn Humble Classics Return Bundle. Za vlastní cenu lze koupit hry Broken Sword 5 - The Serpent's Curse, Shadowrun Returns a Shadowrun: Dragonfall - Director's Cut. Při nadprůměrné platbě (aktuálně 8,48 $) také Shadowrun: Hong Kong - Extended Edition, Wasteland 2: Director's Cut - Standard Edition, Age of Wonders III a Xenonauts. Při platbě 15 $ a více lze získat navíc Torment: Tides of Numenera a Dreamfall Chapters: The Final Cut Edition.

Ladislav Hagara | Komentářů: 0
Který webový vyhledávač používáte nejčastěji?
 (2%)
 (27%)
 (62%)
 (2%)
 (3%)
 (0%)
 (1%)
 (1%)
Celkem 458 hlasů
 Komentářů: 35, poslední 21.2. 19:51
    Rozcestník

    Portál

    Skupina se věnuje tomuto portálu z pohledu uživatelů i správců. Probírají se zde funkce abíčka, srazy, najdete zde nápovědu.
    Informace o skupině
    Založena: 9. 9. 2008
    Členů: 25
    Článků: 0
    Wiki stránek: 14
    Dotazů: 139
    Akcí: 0
    Čtenost: 100 %
    Skóre: 35

    Dotaz: XSS na Abclinuxu

    8.2. 23:50 ehm
    XSS na Abclinuxu
    Přečteno: 2612×
    Přílohy:
    Na Abclinuxu někdo očividně objevil a využil XSS. Přikládám screenshot. Otevřete si zdrojový kód stránky a dejte CTRL+F "alert"...

    Asi je dobrý nápad se odhlásit (a doufat, že to dropne session ID i na serveru). A pokud za tím stojí člověk, který si myslím, že za tím stojí, tak už fakt prosím provozovatele portálu, aby podal trestní oznámení. Osobně jsem už před několika týdny policii elektronickou formou upozornil na některé jeho komentáře, protože to už bylo těžce za hranou.

    Odpovědi

    9.2. 00:03 .
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Hlavně se z toho neposrat a dát si web dopořádku. Bylo načase
    9.2. 00:53 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Zkusit odhalit chybu je jedna věc. Psát urážlivé příspěvky, spamovat, vyhrožovat zničením portálu a nakonec se pokusit exploitnout nějakou zranitelnost a tvářit se u toho, že nám všem vlastně děláš nějakou službu, je věc druhá.

    Pokud si chceš napravit reputaci, nejlepší, co můžeš udělat, je omluvit se, začít se chovat normálně (nebo úplně zmizet) a doufat, že se na tohle co nejrychleji zapomene.
    Blaazen avatar 9.2. 00:41 Blaazen | skóre: 21
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Já vidím v kategorii "Slovník" přidané heslo "debil" a v "Kdo je" položku "aa bb".
    9.2. 01:09 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Ano. Ty skripty už asi někdo z adminů odstranil.
    9.2. 02:48 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tak to vypadá, že to odstranil dotyčný sám. Viz první revize toho hesla ve slovníku.

    Dokud nebude ta chyba zazáplatována, je potřeba mít na Abclinuxu zablokovaný JavaScript. Používate-li Chrome, mohu doporučit No-Script Suite Lite. Obzvlášť to platí u adminů. Tam by krádež cookies mohla mít fatální následky.

    Ještě dodávám, že ten skript se spouštěl i na titulní straně. Je to fakt velmi závažná bezpečnostní chyba.
    9.2. 08:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Dokud nebude ta chyba zazáplatována, je potřeba mít na Abclinuxu zablokovaný JavaScript.
    Útočník by mohl maximálně tak jménem uživatele postnout z JavaScriptu nějaké příspěvky.
    Tam by krádež cookies mohla mít fatální následky.
    Akorát že přihlašovací cookies na Abíčku už mají nějakou dobu nastavený atribut HTTPonly.
    Je to fakt velmi závažná bezpečnostní chyba.
    Ani bych neřekl.
    9.2. 08:34 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Útočník by mohl maximálně tak jménem uživatele postnout z JavaScriptu nějaké příspěvky.
    Mazat nemůže?
    Akorát že přihlašovací cookies na Abíčku už mají nějakou dobu nastavený atribut HTTPonly.
    Aha, to jsem nevěděl (a dokonce jsem takový atribut ani neznal). To tedy krádež session snad vylučuje.
    Ani bych neřekl.
    Je to méně závažné než jsem si myslel (s ohledem na ten atribut HTTPonly), ale i byť jen možnost postovat pod cizím jménem mi docela závažná přijde.
    9.2. 09:09 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Mazat nemůže?
    Může jenom to, co uživatel.
    To tedy krádež session snad vylučuje.
    Vylučuje, proto jsem před pár lety ten patch posílal, když si tu tenkrát někdo začal hrát s XSS.
    byť jen možnost postovat pod cizím jménem mi docela závažná přijde
    Může vložit skript, který se provede tam, kde se používá (v tomto případě) název hesla ze slovníku. Je to jeden společný skript pro všechny, pokud by chtěl něco vložit jménem konkrétního uživatele, musí si v tom skriptu zjistit, zda je to právě přihlášený uživatel, pak zvolit třeba nějaké časové rozmezí (aby se to za daného uživatele vložilo jen několikrát a ne pořád dokola), a vkládaný text opět musí být napevno součástí toho skriptu (může jich tam být víc, ale stále omezené množství). Navíc ten skript bude uložený v historii daného slovníkového hesla, stačí si pak z databáze vyjet všechna hesla vytvořená v poslední době, která obsahují <script.

    Z možných bezpečnostních chyb je tenhle typ chyby méně závažný. XSS chyb bude na Abíčku pravděpodobně o dost víc, v době, kdy Abíčko vzniklo, se takovéhle věci neřešily – tenkrát se to bralo, že si přece nebudeme škodit navzájem. Dneska by to určitě chtělo na Abíčko nasadit CSP, jenže to není jen otázka nastavení jednoho příznaku, protože Abíčko používá i dost inline skriptů.

    Bohužel to jenom potvrzuje, že když se nechá „svoboda“ malým trollům, přitáhnou za nimi větší trollové a po nich ti, kteří už chtějí jenom škodit a nijak se s tím netají.
    9.2. 10:00 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Může jenom to, co uživatel.
    Přístup pro adminy je úplně oddělený, nebo...?
    Je to jeden společný skript pro všechny, pokud by chtěl něco vložit jménem konkrétního uživatele, musí si v tom skriptu zjistit, zda je to právě přihlášený uživatel, pak zvolit třeba nějaké časové rozmezí (aby se to za daného uživatele vložilo jen několikrát a ne pořád dokola), a vkládaný text opět musí být napevno součástí toho skriptu (může jich tam být víc, ale stále omezené množství).
    Spammerovi je to jedno (naopak by to možná ještě narval do cyklu).
    Bohužel to jenom potvrzuje, že když se nechá „svoboda“ malým trollům, přitáhnou za nimi větší trollové a po nich ti, kteří už chtějí jenom škodit a nijak se s tím netají.
    Nevím, jak to mám chápat. V komunitách, kde je nízká tolerance vůči trollům se objevuje méně záškodníků, protože od počátku vidí, že se daleko nedostanou? Z hlediska projevování se asi ano, ale nemyslím si, že by to někoho odradilo od hledání bezpečnostních chyb (naopak by to jejich hledání možná vyprovokovalo ještě víc). Ale nepřijde mi to podstatné.
    9.2. 10:23 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Přístup pro adminy je úplně oddělený, nebo...?
    Bylo to myšleno tak, že vložený JavaScript může dělat jenom to, co může dělat přihlášený uživatel, u kterého ten skript běží. Admini si teď holt musí dávat pozor.
    Nevím, jak to mám chápat. V komunitách, kde je nízká tolerance vůči trollům se objevuje méně záškodníků, protože od počátku vidí, že se daleko nedostanou?
    Ano.
    nemyslím si, že by to někoho odradilo od hledání bezpečnostních chyb (naopak by to jejich hledání možná vyprovokovalo ještě víc)
    Tady nejde o hledání bezpečnostních chyb, ale o jejich zneužívání. Komunita lidí kolem portálu o těch chybách ví, některý z trollů občas něco z legrace zkusil, bylo to třeba nepříjemné, ale nikdy to nebylo dělané s cílem útočit nebo něco ničit. S úmyslem ničit toho začal zneužívat až petrfm. Za ty léta je vidět, jak se to postupně zhoršuje – nejprve jen napadání v konkrétních diskusích, pak opakované napadání konkrétních lidí, pak ruční tapetování diskusí a teď už skripty. A vždy to někdo obhajoval tím, že je to přece svoboda slova a to je to nejdůležitější a to zajišťuje svobodnou diskusi. No, tak teď už je snad každému jasné, že v diskusi je to úplně stejné, jako ve sportu – skutečnou diskusi nebo skutečné sportovní utkání nezajistí to, že se bude „hrát“ bez pravidel, ale právě naopak, funguje to jedině tehdy, pokud se pravidla dodržují.
    14.2. 14:49 .
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Ani bych neřekl.
    To já teda jo, ale ty tomu rozumíš, že?
    9.2. 09:39 KOKOT7
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    To mu ale zase nepojede ta nova CAPTCHA :-D LOL
    Jsem kokot a všeci mi to závidí
    9.2. 10:05 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Captcha se týká jen neregistrovaných uživatelů.
    9.2. 10:06 hmm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Takže neregistrovaným nemusí vadit XSS útok zde na webu? Jo aha, to není komunita kolem abíčka, ti jsou vám u prdele, že?
    Luboš Doležel (Doli) avatar 9.2. 09:13 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Vypadá to, že tím trpí sekce Slovník a Software, a to jen v titulku objektu.
    9.2. 09:27 marbu | skóre: 28 | blog: hromada | Brno
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
    9.2. 09:51 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Ano, to je výborný nápad, napovídat útočníkovi, co ještě může zneužít.
    9.2. 09:53 KOKOT7
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Vy šulíni. Takže vy máte děravý web a vystavujete tak jeho návštěvníky riziku poškození nebo napadení jejich PC a místo abyste byli rádi že vás na to někdo upozorní, ještě budete remcat?

    Vy si to fakt asi zasloužíte.
    Jsem kokot a všeci mi to závidí
    9.2. 10:02 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Já dnes s Abíčkem nemám nic společného. Pokud by webový prohlížeč umožnil skrze webovou stránku poškodit nebo napadnout PC, je to chyba toho prohlížeče. Nevím, proč by někdo měl být rád za to, že ho někdo upozorní na něco, co už dávno ví. Jediné, na co tady upozorňujete, je to, že jste si přezdívku zvolil správně.
    9.2. 10:04 hmm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Takže pokrytci?
    9.2. 10:33 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    V čem? Abíčko bylo původně komunitní portál. Zahrádkáři si taky mezi sebou věří a nemá každý svoji mrkev přivázanou řetězem, aby mu ji kolega od vedle neukradl. Akorát byla původní komunita uživatelů linuxu postupně nahrazena komunitou těch, kteří si myslí, že povoleno má být vše a odpovědnost nemá být žádná. Což je bohužel poněkud v rozporu s principem komunit nebo společenství, ale výsledky už jsou vidět dávno.
    Luboš Doležel (Doli) avatar 9.2. 10:53 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tenhle XSS vám nepoškodí ani nenapadne PC víc než jakýkoliv jiný skript, co může někde být.
    9.2. 11:01 marbu | skóre: 28 | blog: hromada | Brno
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Vzhledem k tomu, že ten útočník už našel jinou lepší chybu, nemyslím si, že bych mu tím nějak extra pomohl. A když už tu to vlákno o XSS jednou máme, může ten můj komentář pomoct spíš někomu ze správců, kdo to bude chtít řešit. Navíc Luboš to už jednou opravil, a tak mi přijde, že opravit to znovu by mělo být jednodušší než to co se tu řeší dnes.
    I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
    9.2. 14:38 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Nikoli, útočník našel menší chybu, a teprve ta vaše nápověda by mu umožnila to pořádně využít. Nevím, jak by správcům mohlo pomoci upozornění na něco, o čem vědí. Ta chyba opravená nikdy nebyla.
    9.2. 14:54 pete
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tak to je vrchol ubohosti, pokud je to něčí zodpovědnost, tak těch, co o zranitelnosti léta věděli a nic s tím neudělali. Neházej to na druhé, zbabělče.
    9.2. 15:19 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Máte zabezpečený barák proti útoku tankem nebo třeba proti bombardování? Nebo spoléháte na to, že jsme ve střední Evropě a vyskytují se tu maximálně zloději, kteří překonají nějaký zámek, ale nesrovnají vám barák se zemí? Při zabezpečování jde vždy o to, co bude vyšší – zda náklady na zabezpečení nebo motivace útočníka. Nejlepší je to samozřejmě tam, kde si lidé mohou navzájem věřit a nemusí vyhazovat peníze na obranu.

    Anonymně někoho označovat za zbabělce, to je vskutku statečný postoj.
    9.2. 09:45 KOKOT7
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Koukam ze vas to hazi na root, asi vas konkurence taky miluje :-D
    Jsem kokot a všeci mi to závidí
    9.2. 09:46 KOKOT7
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Maji vas tam za nymandy. Uz i holky z mimibazaru se vam smejou, ze tu mate XSS :-D
    Jsem kokot a všeci mi to závidí
    9.2. 09:58 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Nikoli. Komunita kolem Abíčka ví o tom, že Abíčko má různé bezpečnostní chyby. To vám se smějou, protože neumíte nic jiného, než bořit – a ještě si vybíráte jako cíl útoku něco, co si přátelé udělali jen tak pro sebe, takže neměli potřebu to zabezpečovat.
    9.2. 15:31 sad
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Aha, takže tohle je pomsta za to TO. Nicméně podávat TO jen kvůli komentářům, to je také docela zvláštní.

    Tak tahle captcha je strašná!!!!!

    Inspirujte se radši ulozto.cz
    k3dAR avatar 9.2. 18:43 k3dAR | skóre: 48
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    jsou komentare a klmentarem petrfm za posledni rok pripagoval komunisticky/totalitni rezim, mel rasisticke,xenofobmi,urazlive komentate, nadaval jak tisic dlazdicu, podnecoval k nenavisti.., kdyz ale se zacal psychycky hroutit a zaclob sen to stupnova?? ze to zlehcujes je tvuj problem...
    porad nemam telo, ale uz mam hlavu... nobody
    9.2. 18:55 sad
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Snad to TO podával někdo gramotnější...
    9.2. 19:18 sad
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tohle psal falešný sad.
    k3dAR avatar 9.2. 20:40 k3dAR | skóre: 48
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    moje (ne)gramotnost nema nic spolecneho s preklepama na virtualni klavesnici v telefonu ;-) a ne, ja TO nepodaval...
    porad nemam telo, ale uz mam hlavu... nobody
    9.2. 22:27 pc2005 | skóre: 35 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Ten XSS se dá brát jako pokus o krádež přihlašovacích údajů. V případě že by to byl adminský login, tak i třeba hesla a maily uživatelů apod.
    9.2. 22:26 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Nicméně podávat TO jen kvůli komentářům, to je také docela zvláštní.
    Změna v jeho chování byla natolik divná, že jsem měl podstatnou obavu o to, jak se projevuje v normálním životě (mj. s ohledem na to, že asi má děti). Já nemůžu rozlišit, jestli tu prostě jen píše sračky, nebo je nebezpečný sobě a/nebo okolí. Nedělám si iluze, že by mu za těch pár komentářů hrozil nějaký vážný postih (a ani bych z toho neměl žádný užitek). Teď už je zjevné, že nějaké duševní problémy má a můj odhad byl správný.

    Mimochodem, o legitimní podání TO se tak úplně nejednalo. Upozornil jsem policii e-mailem a ta dodnes neodpověděla – ale to už není moje starost. Já udělal to, co mi přišlo, že jsem udělat měl, a dál už je to na nich. Pokud se domnívají, že to není třeba řešit, tak v pořádku. Už se nebudu muset cítit spoluzodpovědný v případě, že mu rupne v bedně úplně a začne se chovat agresivně, nebo co já vím.
    tsLnox avatar 9.2. 21:21 tsLnox | skóre: 31 | blog: Blog jednoho ukecaného Gentoolemana | Žďár nad Sázavou
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Teď mě to redirectlo na ahaonline a v sekci Kdo je jsou natřískaný iframy s aha.cz nebo čím.
    9.2. 21:23 robotekemil | skóre: 3
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Nevíš kdo je tam dal a jak je možné, že tam jdou dát? :-D
    Luboš Doležel (Doli) avatar 9.2. 22:09 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tohle je totální minový pole. Ve zkratce jde o to, že skoro nikde ve zdrojácích Ábíčka se neescapují uživatelem zadané vstupy při jejich výpisu v šabloně, i když je to ve Freemarkeru otázka přidání ?html za proměnnou.

    Všude se spoléhá na kontroly při vkládání (typu String.indexOf('<') != -1) a ty někde chybí. A pak jsou tam zrádnosti jako že Misc.filterDangerousCharacters() filtruje všelijaký nebezpečný rozsahy unicode, ale rozhodně neřeší <, takže při kontrole člověk mylně předpokládá, že to dělá něco jiného..
    9.2. 22:25 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Poslední verze Freemarkeru to má dokonce opačně, výchozí je escapování a musí se mu explicitně říct, co escapovat nemá. Pro Abíčko to bohužel není řešení, protože v uživatelských datech je i markup, akorát někde není ošetřený.

    Přemýšlím, co je teď pro Abíčko lepší – zda teď nechat petrfm, aby všechny ty XSS našel, nebo ke všem vloženým skriptům doplnit vypsání nonce a zapnout CSP.
    9.2. 22:33 pc2005 | skóre: 35 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Přemýšlím, co je teď pro Abíčko lepší – zda teď nechat petrfm, aby všechny ty XSS našel, nebo ke všem vloženým skriptům doplnit vypsání nonce a zapnout CSP.
    Povolit v komentářích pouze "ook" a "eek" :-P

    Jinak vážně: pokud to není nikde ošetřený, tak se to náhodnýma pokusama nenajde všechno. Nebo by to trvalo tak dlouho, že by tu už nikdo nezbyl.
    9.2. 22:46 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Pokud si to dobře pamatuju, naopak to na spoustě míst ošetřený je (protože např. v komentářích by lidé „škodili“ ne proto, že by chtěli útočit, ale prostě by omylem něco napsali špatně), ale na méně používaných místech to ošetřené není, protože tenkrát nikdo nepočítal s tím, že by na Abíčko někdo záměrně útočil. A překvapivě to vydrželo hodně dlouho, premiéru si teď odbyl až petrfm. Dříve to občas někdo zkusil, ale nikdy takhle se záměrem vyloženě portálu systematicky škodit. Navíc těch míst, odkud může uživatel vkládat obsah, zase není tolik. A pokud to zůstane někde na nějaké zastrčen stránce, není to takový problém – problém je hlavně ten obsah, který se generuje na hlavní stránku.
    Bedňa avatar 11.2. 22:13 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Ja to už nejaký čas riešim tak, že užívateľ môže vložiť úplne všetko a až samotné vykresľovanie stránky prevedie kontrolu. Takže sa to deje na jednom mieste a to sa už ustrážiť dá. Tak aj keď niekto nájde chybu, raz to oparvíš a máš to všade. No autori článkov, blogov a komentárov sa nemusia o nič starať a môžu pastovať priamo skripty.

    Jo a ktomu čo si písal, že pred časom tu niekto XSS skúšal, ale ja som to robil ako White hat :) Teda len som na to upozornil.
    KERNEL ULTRAS video channel >>>
    11.2. 22:20 robotekemil | skóre: 3
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tak jako já. Nikdy jsem toho nezneužil.
    11.2. 23:33 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    To je lež. Některé vaše vložené iframy nebo přesměrování jsou vidět v historii příslušných stránek.
    11.2. 23:29 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Jo a ktomu čo si písal, že pred časom tu niekto XSS skúšal, ale ja som to robil ako White hat :) Teda len som na to upozornil.
    Vždyť jsem také psal „zkoušel“ a ne „škodil“. Akorát by mi jako upozornění přišlo vhodnější oznámit to správcům a ne napsat to do veřejné diskuse a doufat, že si toho někdo všimne. I když je pravda, že kdyby to nebylo ve veřejné diskusi, nenarazil bych na to a nepřipravil tu opravu, která alespoň znemožnila čtení cookies z JavaScriptu.
    Bedňa avatar 12.2. 19:15 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Tak sám vidíš, že to zabralo :) Nejak som to napísal, v kontexte diskusie a nenapdalo ma to proste dať napr. Dolimu, pretože to je asi posledný človek, ktorý to tu udržuje.
    KERNEL ULTRAS video channel >>>
    19.2. 16:11 miho | skóre: 22 | blog: Mihovy_sochory | Orlová
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Na xxs zde na abclinuxu https://tinyurl.com/hfb3en4 a na diit https://tinyurl.com/zodzopt

    jsem upozornil redakce již v dubnu minulého roku. Byl jsem poslán do prdele (ne doslova ale de facto ano) tak jsem to jen zveřejnil na svém twitteru a dál neřešil.

    19.2. 20:02 pc2005 | skóre: 35 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    To se vezme rovnou HTML v URL? o_O
    Luboš Doležel (Doli) avatar 19.2. 21:02 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    To URL se dostane do exception message a ta se v šabloně se dále neescapuje, takže se dostane v nezměněné podobě do HTML kódu stránky. Opraveno.
    19.2. 21:21 robotekemil | skóre: 3
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Necháváš si za ty opravy platit, nebo to děláš zdarma?
    20.2. 13:16 pc2005 | skóre: 35 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Jo takhle. Tak dík za opravu ;-).
    20.2. 21:08 robotekemil | skóre: 3
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    Webové aplikace nebudou tvůj šálek kávy, viď? :-)
    20.2. 21:17 ehm
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    alert=1
    20.2. 21:22 robotekemil | skóre: 3
    Rozbalit Rozbalit vše Re: XSS na Abclinuxu
    LOL :-D

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.