DevProTalk

Forumi IT profesionalaca
web development, web design, e-business, SEO


Idite nazad   DevProTalk > Web development i web aplikacije > Programiranje
Želite da se reklamirate ekskluzivno na ovoj poziciji? Javite se

Programiranje Java, Perl, VB, ASP, .NET, C, C++, Pascal, Delphi Sponzor: VIP izazov 3

Odgovori
 
Alati teme Način prikaza
Staro 02. 08. 2006.   #11
Ilija Studen
Direktor Kombinata
Invented the damn thing
 
Avatar Ilija Studen
 
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
Ilija Studen će postati "faca" uskoroIlija Studen će postati "faca" uskoro
Default

Uglavnom, ako nekom trebaju funkcije za čišćenje stringova i prosta zamena var_dump koja je otporna na XSS može da proba ove funkcije:

PHP kôd:
/**
* Equivalent to htmlspecialchars(), but allows &#[0-9]+ (for unicode)
*
* @access public
* @param string $str
* @return string
*/
function clean($str) {
  
$str preg_replace('/&(?!#[0-9]+;)/s''&'$str);
    
$str str_replace(array('<''>''"'), array('&lt;''&gt;''&quot;'), $str);

    return 
$str;
// clean

/**
* This function will return clean variable info
*
* @param mixed $var
* @param string $indent Indent is used when dumping arrays recursivly
* @param string $indent_close_bracet Indent close bracket param is used
*   internaly for array output. It is shorter that var indent for 2 spaces
* @return null
*/
function clean_var_info($var$indent '&nbsp;&nbsp;'$indent_close_bracet '') {
  if(
is_object($var)) {
    return 
'Object (class: ' get_class($var) . ')';
  } elseif(
is_resource($var)) {
    return 
'Resource (type: ' get_resource_type($var) . ')';
  } elseif(
is_array($var)) {
    
$result 'Array (';
    if(
count($var)) {
      foreach(
$var as $k => $v) {
        
$k_for_display is_integer($k) ? $k "'" clean($k) . "'";
        
$result .= "\n" $indent '[' $k_for_display '] => ' clean_var_info($v$indent '&nbsp;&nbsp;'$indent_close_bracet $indent);
      } 
// foreach
    
// if
    
return $result "\n$indent_close_bracet)";
  } elseif(
is_int($var)) {
    return 
'(int)' $var;
  } elseif(
is_float($var)) {
    return 
'(float)' $var;
  } elseif(
is_bool($var)) {
    return 
$var 'true' 'false';
  } elseif(
is_null($var)) {
    return 
'NULL';
  } else {
    return 
"(string) '" clean($var) . "'";
  } 
// if
// clean_var_info 
Prva je preuzeta iz punBBa, a drugu sam napisao kada su mi prijavili XSS propust u var_dumpu. Druga je daleko od potpune jer ne radi kompletan dump podataka o objektu, ali za neke jednostavnije stvari je i više nego dovoljna.
Ilija Studen je offline   Odgovorite uz citat
Staro 02. 08. 2006.   #12
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default

kako tacno funkcionise taj XSS napad na var_dump ?
/me stupid...
__________________
Leadership is the art of getting people to want to do what you know must be done.
ivanhoe je offline   Odgovorite uz citat
Staro 02. 08. 2006.   #13
zextra
Boris
Grand Master
 
Avatar zextra
 
Datum učlanjenja: 01.12.2005
Lokacija: Novi Sad
Poruke: 775
Hvala: 5
156 "Hvala" u 2 poruka
zextra is on a distinguished roadzextra is on a distinguished road
Default

Ako se ne varam, posaljes zahtev skripta.php?nesto=<script>bla bla bla</script> (naravno, url-encoded), a u skripti se (kao pomoc prilikom debugovanja) nalazi var_dump($_GET), tako da browser automatski izvrsi skriptu prosledjenu kao request.

Ovo je samo pojasnjen primer, najprostije bi bilo da imas guestbook na sajtu, i da ne escapujes html prilikom ubacivanja istog u bazu ili ispisa (da zanemarimo sql injection ovom prilikom). Znas sta bi posle bilo.

Jesam li u pravu?
__________________
"It’s important to have goals when you pet. Otherwise you’re just rubbing another mammal for no reason." - Scott Adams

Poslednja izmena od zextra : 02. 08. 2006. u 12:12.
zextra je offline   Odgovorite uz citat
Staro 02. 08. 2006.   #14
Milos Vukotic
Knowledge base
Wrote a book
 
Avatar Milos Vukotic
 
Datum učlanjenja: 07.06.2005
Lokacija: Neđe ođe...
Poruke: 1.197
Hvala: 339
688 "Hvala" u 178 poruka
Milos Vukotic je pravi dragi kamenMilos Vukotic je pravi dragi kamenMilos Vukotic je pravi dragi kamenMilos Vukotic je pravi dragi kamenMilos Vukotic je pravi dragi kamenMilos Vukotic je pravi dragi kamenMilos Vukotic je pravi dragi kamen
Default

Off Topic: Grammar Audit za security-net.biz: Ivane, pise se "labOratorija"
__________________
Чак Норис може да си ги врзе врвките на чевлите со стапалата.
Milos Vukotic je offline   Odgovorite uz citat
Staro 02. 08. 2006.   #15
Ilija Studen
Direktor Kombinata
Invented the damn thing
 
Avatar Ilija Studen
 
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
Ilija Studen će postati "faca" uskoroIlija Studen će postati "faca" uskoro
Default

Citat:
Originalno napisao zextra
Ako se ne varam, posaljes zahtev skripta.php?nesto=<script>bla bla bla</script> (naravno, url-encoded), a u skripti se (kao pomoc prilikom debugovanja) nalazi var_dump($_GET), tako da browser automatski izvrsi skriptu prosledjenu kao request.
Upravo. Recimo, aC ima izveštaj o neuhvaćenom izuzetku ako je u debug modu. Taj izveštaj sadrži dumove autoglobalnih promenljivih i tu je bio problem - ogroman XSS propust. Ako u GET ubaciš nešto "nepristojno":

Kôd:
/?a=&%3C/pre%3E%3Cscript%3Ealert(0);%3C/script%3E%3Cpre%3E

eq.

/?a=&</pre><script>alert(0);</script><pre>
Dobićeš alert bez ikakvih problema jer var_dump ne čisti polja.

Drugi problem je čišćenje UTF ekodiranog sadržaja. To rešava prva funkcija.

... I tako dan za danom, pred kockastim ekranom

Btw, jedna od prednosti (ili mana u zavisnosti od ugla iz kog gledaš) open source projekta je što jako brzo naučiš ovakve stvari. Neće proći ni 5 min i neko će ti ih već izbunariti.
Ilija Studen je offline   Odgovorite uz citat
Staro 02. 08. 2006.   #16
Ivan
Psychedelictrance freak
Wrote a book
 
Avatar Ivan
 
Datum učlanjenja: 04.06.2006
Lokacija: Srbija, Beograd
Poruke: 1.008
Hvala: 325
933 "Hvala" u 34 poruka
Ivan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoro
Pošaljite poruku preko Skype™ za Ivan
Default

@zextra
upravo tako

@Milos Vukotic
hvala za ispravku, sajt je napravljen na brzinu kad nadjem vremena uradicu ga skroz drugacije ...

@Ilija Studen
Citat:
Neće proći ni 5 min i neko će ti ih već izbunariti.
Da
Ivan je offline   Odgovorite uz citat
Staro 02. 08. 2006.   #17
Ilija Studen
Direktor Kombinata
Invented the damn thing
 
Avatar Ilija Studen
 
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
Ilija Studen će postati "faca" uskoroIlija Studen će postati "faca" uskoro
Default

Nije problem napraviti grešku. Problem je kad iz cele priče ne naučiš ništa i nastaviš da je praviš non stop

Btw, uveren sam da mnogo developera ne zna puno o sigurnosti baš zato što prave aplikacije koje ne nailaze na veliku popuparnost pa ne predstavljaju potencijalnu metu. I onda kad te odjednom baci da moraš da napraviš sigurnu aplikaciju odjednom frka. Znam da je meni jer tom delu ranije nisam posvećivao previše pažnje - nije bilo potrebe i nisam bio dovoljno plaćen. Što pre naučiš šta sve možeš da očekuješ i čega treba da se pažiš to bolje.

Daleko da kažem da možeš preko noći postati security ekspert, ali bar naučiš čega treba da se čuvaš i kako da odmah u startu sasečeš potencijalne probleme. A to je... priceless
Ilija Studen je offline   Odgovorite uz citat
Staro 02. 08. 2006.   #18
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default

a jedno pitanje: ako je aplikacija u debug modu pretpostavka je da si ti autor koji je debaguje, zasto bi ti sam sebi slao XSS kod ?

Kolike su sanse da se napravi da neko drugi posalje XSS, a da se on tebi nadje u debug outputu ? Jer to kapiram da bi bilo vrlo opasno, bilo bi extremno lako na primer oteti sesiju adminu tako... ali mi nije bas najjasniji scenario u kom bi to bilo realno ostvarivo...

druga stvar su XSS napadi na komentare u blogovima, guestbooks i slicno, tu mi je jasno kako napadac moze da "ostavi" skript, kod debuga mi nije bas jasno...
__________________
Leadership is the art of getting people to want to do what you know must be done.
ivanhoe je offline   Odgovorite uz citat
Staro 02. 08. 2006.   #19
bluesman
Goran Pilipović
Sir Write-a-Lot
 
Avatar bluesman
 
Datum učlanjenja: 18.05.2005
Lokacija: Beograd
Poruke: 5.450
Hvala: 288
1.247 "Hvala" u 446 poruka
bluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušati
Pošaljite ICQ poruku za bluesman
Default

Citat:
Originalno napisao Ivan
Da
Vidi ga ovaj kako se nasladjuje
__________________
Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman
I don't always know what I'm talking about but I know I'm right!
bluesman je offline   Odgovorite uz citat
Staro 02. 08. 2006.   #20
Ilija Studen
Direktor Kombinata
Invented the damn thing
 
Avatar Ilija Studen
 
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
Ilija Studen će postati "faca" uskoroIlija Studen će postati "faca" uskoro
Default

Citat:
Originalno napisao ivanhoe
druga stvar su XSS napadi na komentare u blogovima, guestbooks i slicno, tu mi je jasno kako napadac moze da "ostavi" skript, kod debuga mi nije bas jasno...
Ako je u pitanju public skripta (a aC jeste) neko slučajno može da ostavi skriptu u debug modu. Čovek razvijao plugin i samo šibnuo sve online, nije ni gledao debug mod ili je jednostavno zaboratio.

Poenta je da rupa postoji i da postoji scenario u kom ona može da bude iskorišćena. Ako ne trebaju meseci da je pokrpiš već to možeš da uradiš za 15 min što da ne? Jedan propust manje.
Ilija Studen je offline   Odgovorite uz citat
Odgovori


Alati teme
Način prikaza

Pravila pisanja
Možete ne započinjati nove teme
Možete ne slati odgovore
Možete ne slati priloge
Možete ne izmeniti svoje poruke
vB kôd je Uključen
Smajliji su Uključen
[IMG] kod je Uključen
HTML kôd je Isključen
Pogledajte forum

Slične teme
Tema Početna poruka teme Forum Odgovori Poslednja poruka
10 Web dizajn grešaka za 2005.-u Goran Aničić Web design, Layout, User Interface 34 31. 05. 2006. 17:41
Problem sa prikazivanjem menija u IE-u Eli0t (X)HTML, JavaScript, DHTML, XML, CSS 2 24. 05. 2006. 19:09


Vreme je GMT +2. Trenutno vreme je 23:00.


Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.