-
Programiranje
(
http://www.devprotalk.com/forumdisplay.php?f=23)
| Ilija Studen |
01. 08. 2006. 23:37 |
Uglavnom, ako nekom trebaju funkcije za čišćenje stringova i prosta zamena var_dump koja je otporna na XSS može da proba ove funkcije:
PHP kôd:
/**
* Equivalent to htmlspecialchars(), but allows &#[0-9]+ (for unicode)
*
* @access public
* @param string $str
* @return string
*/
function clean($str) {
$str = preg_replace('/&(?!#[0-9]+;)/s', '&', $str);
$str = str_replace(array('<', '>', '"'), array('<', '>', '"'), $str);
return $str;
} // clean
/**
* This function will return clean variable info
*
* @param mixed $var
* @param string $indent Indent is used when dumping arrays recursivly
* @param string $indent_close_bracet Indent close bracket param is used
* internaly for array output. It is shorter that var indent for 2 spaces
* @return null
*/
function clean_var_info($var, $indent = ' ', $indent_close_bracet = '') {
if(is_object($var)) {
return 'Object (class: ' . get_class($var) . ')';
} elseif(is_resource($var)) {
return 'Resource (type: ' . get_resource_type($var) . ')';
} elseif(is_array($var)) {
$result = 'Array (';
if(count($var)) {
foreach($var as $k => $v) {
$k_for_display = is_integer($k) ? $k : "'" . clean($k) . "'";
$result .= "\n" . $indent . '[' . $k_for_display . '] => ' . clean_var_info($v, $indent . ' ', $indent_close_bracet . $indent);
} // foreach
} // if
return $result . "\n$indent_close_bracet)";
} elseif(is_int($var)) {
return '(int)' . $var;
} elseif(is_float($var)) {
return '(float)' . $var;
} elseif(is_bool($var)) {
return $var ? 'true' : 'false';
} elseif(is_null($var)) {
return 'NULL';
} else {
return "(string) '" . clean($var) . "'";
} // if
} // clean_var_info
Prva je preuzeta iz punBBa, a drugu sam napisao kada su mi prijavili XSS propust u var_dumpu. Druga je daleko od potpune jer ne radi kompletan dump podataka o objektu, ali za neke jednostavnije stvari je i više nego dovoljna. |
| ivanhoe |
02. 08. 2006. 01:22 |
kako tacno funkcionise taj XSS napad na var_dump ?
/me stupid...
|
| zextra |
02. 08. 2006. 03:05 |
Ako se ne varam, posaljes zahtev skripta.php?nesto=<script>bla bla bla</script> (naravno, url-encoded), a u skripti se (kao pomoc prilikom debugovanja) nalazi var_dump($_GET), tako da browser automatski izvrsi skriptu prosledjenu kao request.
Ovo je samo pojasnjen primer, najprostije bi bilo da imas guestbook na sajtu, i da ne escapujes html prilikom ubacivanja istog u bazu ili ispisa (da zanemarimo sql injection ovom prilikom). Znas sta bi posle bilo. :)
Jesam li u pravu? :)
|
| Milos Vukotic |
02. 08. 2006. 08:55 |
Off Topic: Grammar Audit za security-net.biz: Ivane, pise se "labOratorija" ;) |
| Ilija Studen |
02. 08. 2006. 13:28 |
Citat:
Originalno napisao zextra
Ako se ne varam, posaljes zahtev skripta.php?nesto=<script>bla bla bla</script> (naravno, url-encoded), a u skripti se (kao pomoc prilikom debugovanja) nalazi var_dump($_GET), tako da browser automatski izvrsi skriptu prosledjenu kao request.
|
Upravo. Recimo, aC ima izveštaj o neuhvaćenom izuzetku ako je u debug modu. Taj izveštaj sadrži dumove autoglobalnih promenljivih i tu je bio problem - ogroman XSS propust. Ako u GET ubaciš nešto "nepristojno":
Kôd:
/?a=&%3C/pre%3E%3Cscript%3Ealert(0);%3C/script%3E%3Cpre%3E
eq.
/?a=&</pre><script>alert(0);</script><pre>
Dobićeš alert bez ikakvih problema jer var_dump ne čisti polja.
Drugi problem je čišćenje UTF ekodiranog sadržaja. To rešava prva funkcija.
... I tako dan za danom, pred kockastim ekranom :D
Btw, jedna od prednosti (ili mana u zavisnosti od ugla iz kog gledaš) open source projekta je što jako brzo naučiš ovakve stvari. Neće proći ni 5 min i neko će ti ih već izbunariti. |
@zextra
upravo tako
@Milos Vukotic
hvala za ispravku, sajt je napravljen na brzinu kad nadjem vremena uradicu ga skroz drugacije ...
@Ilija Studen
Citat:
Neće proći ni 5 min i neko će ti ih već izbunariti.
|
Da :p |
| Ilija Studen |
02. 08. 2006. 13:46 |
Nije problem napraviti grešku. Problem je kad iz cele priče ne naučiš ništa i nastaviš da je praviš non stop ;)
Btw, uveren sam da mnogo developera ne zna puno o sigurnosti baš zato što prave aplikacije koje ne nailaze na veliku popuparnost pa ne predstavljaju potencijalnu metu. I onda kad te odjednom baci da moraš da napraviš sigurnu aplikaciju odjednom frka. Znam da je meni jer tom delu ranije nisam posvećivao previše pažnje - nije bilo potrebe i nisam bio dovoljno plaćen. Što pre naučiš šta sve možeš da očekuješ i čega treba da se pažiš to bolje.
Daleko da kažem da možeš preko noći postati security ekspert, ali bar naučiš čega treba da se čuvaš i kako da odmah u startu sasečeš potencijalne probleme. A to je... priceless :D
|
| ivanhoe |
02. 08. 2006. 14:01 |
a jedno pitanje: ako je aplikacija u debug modu pretpostavka je da si ti autor koji je debaguje, zasto bi ti sam sebi slao XSS kod ?
Kolike su sanse da se napravi da neko drugi posalje XSS, a da se on tebi nadje u debug outputu ? Jer to kapiram da bi bilo vrlo opasno, bilo bi extremno lako na primer oteti sesiju adminu tako... ali mi nije bas najjasniji scenario u kom bi to bilo realno ostvarivo...
druga stvar su XSS napadi na komentare u blogovima, guestbooks i slicno, tu mi je jasno kako napadac moze da "ostavi" skript, kod debuga mi nije bas jasno...
|
| bluesman |
02. 08. 2006. 14:10 |
Citat:
Originalno napisao Ivan
Da :p
|
Vidi ga ovaj kako se nasladjuje :) |
| Ilija Studen |
02. 08. 2006. 14:48 |
Citat:
Originalno napisao ivanhoe
druga stvar su XSS napadi na komentare u blogovima, guestbooks i slicno, tu mi je jasno kako napadac moze da "ostavi" skript, kod debuga mi nije bas jasno...
|
Ako je u pitanju public skripta (a aC jeste) neko slučajno može da ostavi skriptu u debug modu. Čovek razvijao plugin i samo šibnuo sve online, nije ni gledao debug mod ili je jednostavno zaboratio.
Poenta je da rupa postoji i da postoji scenario u kom ona može da bude iskorišćena. Ako ne trebaju meseci da je pokrpiš već to možeš da uradiš za 15 min što da ne? Jedan propust manje. |
| Vreme je GMT +2. Trenutno vreme je 08:11. |
|
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.
