XSS -princip a obrana Mozektevidi.net - Mozektevidi.net.

XSS -princip a obrana

Příklady využití, zneužití XSS (Cross-site scripting). Útok a obrana. Metody sociotechniky, krádež cookies, innerHTML.

Techniky zneužití (využití) XSS

Sociotechnika s XSS

Aneb uvést návštěvníka v omyl. Stačí, aby se na webu objevil článek o prodeji webu. Dám příklad:

Doména google.com na prodej

Majtej google se rozhodl prodat svůj podnik. Už ho nebaví podníkaní atd atd.. zdroj: google.com Jako odkaz bude adresa na XSS webu. Například google.com/q=google_prodava_svoji_domenu. Objeví se výsledky hledání uvedeného spojení. Na to nikdo nenaletí. Pokud by se ovšem ostatní písmo skrylo, případně by byl nápis větší mohlo by to zabrat. Příkladem budiž /q=<strong>google_prodava_svoji_domenu</strong><small> Neukončený tag small shová nevhodný text. Vhodnější je nastavit bílou barvu textu (stejné jako pozadí), nebo celé zakomentovat <!-- Pohoda.

Iframe

iframe src="http://neco_nekde.cz" width=100% heiht=1000px frameborder=0 scrolling=no />, v iframe může být cokoliv

InnerHTML

JS moc neovládám, o této technice jsem se dočetl jinde. Javascript umí manipulovat s obsahem stránky. Každý html objekt má vlastnost (property) innerHTML. Následující kód ukazuje nahrazení celé stránky jinou stránkou: <script>document.body.innerHtml="<iframe src=http://neco_kdesi.cz/>"</script>

Zloději cookies

Hodnota cookie se zjištuje přes dokument.cookie. V cookies jsou hesla, id, soukromá data. Vše se dá ukrást přes XSS. zive.cz bylo hacknuto přes xss. email na seznamu seznamu byl hacknut přes xss.

Přihlašování

JS je téměř všemocný, umí totiž během přihlašování po vyplnění hesla odeslat informace ven. l=w.document.forms[0].login.value resp. p=w.document.forms[0].password.value.. Jména položek závisí na konkrétnín formu.

Obrana proti XSS

Kontrola všech vstupů přes htmlspecialchars ent quotes. Kontrola všech výstupů (nějaké bezpečné vstupy můžou dát nebezpečný výstup. Pozor na apostrofy, %, ;, &, +, -. Existují ovšem případy, kdy je je možné xss za pomoci hexa znaků. Neklikat na podezřelé odkazy v emailu. Uživatelé jsou prakticky bezmocní, pomůže vypnutí JS. Jenže většina webových aplikací je na JS závislá, tudy cesta nevede. Jak jsme se přesvědčili, všude číhají hrozby Cross-site scriptingu.


autor článku OS | datum publikování 9.březen.2007 14:07 | články o IT bezpečnosti a obraně proti hackingu IT bezpečnost |

Kometáře

#1 Profik123 wwwhackpages.ic.cz

Zas jednou článek o hovně... reaguj

datum 09.03.2007 20:48

unknown unknown

#2 j.t.d. www

Nee, to by vypadalo jinak: Je to hnědé, smrdí to, co je to? reaguj

datum 09.03.2007 23:48

unknown unknown

#3 SpeedyGT wwwwww.speedygt.ic.cz/

Nepřeháníš to s tim XSS? 1 članek by stačil... reaguj

datum 09.03.2007 23:54

unknown unknown

#4 MzK wwwmozektevidi.net

TO Profik123: XSS je trochu na delší povídání. Proto jsem to trochu rozdělil.
TO SpeedyGT: Jak komu. Někomu je to stejně málo, že? reaguj

datum 10.03.2007 04:55

unknown unknown

#5 ako www

nejako mi neni jasne.. dajme tomu, ye som si nasiel taku stranku..ale nejako neviem co dalej.... pls porad.. danke SMIL reaguj

datum 14.03.2007 18:17

unknown unknown

#6 MzK wwwmozektevidi.net/

TO ako: Dankne? Was ist das? Ich spreche nicht Deutsch, enstchuldigung ich verstehe nicht. reaguj

datum 14.03.2007 18:21

unknown unknown

#7 ako www

ale... nejako mi to z toho clanku neni jasne ako mam pokracovat... ako mam tu chybu vyuzit reaguj

datum 14.03.2007 22:08

unknown unknown

#8 MzK wwwmozektevidi.net

TO ako: Tu máš seznam. Stačí použít fci hledání na webu. mozektevidi.net/ jestli se ti to zdá málo, musíš jinam. Používej googla reaguj

datum 15.03.2007 08:01

unknown unknown

Nové kometáře nejsou povolené.