Zábava s XSS na e-zabava.net Mozektevidi.net - Píše Olda Šálek.

Zábava s XSS na e-zabava.net

XSS útok není jenom sranda, tady jde o život(nebo jen o weby?). Objevil jsem XSS chybu u jednoho zábavního serveru e-zabava.net. Co všechno je XSS (Cross-site scripting)?

XSS útok na e-zabava.net

V době nejvyššího pracovního nasazení mi píše nick 80rac3k na skype. Žádá o zhodnocení svojich stránek po straně bezpečnostní:

Žádost na skype

[4.2.2007 12:14:51] 80rac3k píše: zdarec, nevím, jestli tu jsi...pokud jo, tak napiš, dík
Doufám, že nevadí tykání

[11.2.2007 17:04:01] mozekk750 píše: tykání nevadí, co potřebuješ
tykání nevadí, co potřebuješ. Vícekrát se ptát nebudu

[14.2.2007 17:27:01] 80rac3k píše: chtěl jsem, jestli by ses nezkusil podívat na můj web - http://www.e-zabava.net ...jestli tam nenajdeš nějaké bezpečnostní chyby
[14.2.2007 17:27:09] 80rac3k píše: spíš jen tak zhruba
[14.2.2007 17:27:29] 80rac3k píše: páč detailně by to bylo kvůli spoustě scriptů asi na dost dlouho
[14.2.2007 17:27:32] 80rac3k píše: šlo by to?
[14.2.2007 17:28:27] 80rac3k píše: v poslední době sem se to snažil co nejvcí zabezpečit, aby nebylo snadné to hacknout, tak doufám, že se mi to podařilo

[14.2.2007 17:32:15] mozekk750 píše: máš tam chybu Machr

To ho jistě moc nepotěšilo, že mu bez bez dlouhého rozmýšlění sděluji tvrdou zprávu. Taková podpásovka no. Ale nedá se nic dělat. Zbytek rozhovoru mu vysvětluji, že jde o chybu xss (Cross-site scripting). PHP injekci jsem ani nezkoušel, nepočítám s tím, že by fungovala.
Neznalí si myslí, že XSS je jenom kosmetická záležitost. Znalí si jistě vzpomenou na Syslovo hacknutí žive.cz. Přes XSS můžu ukradnou cookies, měnit strukturu webové stránky, vkládat JS, html, css, iframe, přesměrovat celou www na jinou doménu a provádět phising. Jen pohleďte na následující kód.
http://www.e-zabava.net/img_view.php?id=%3C/a%3Eahoj%20jak%20se%20mas.%20Tyto%20stranky%20jsou%20moc%20%3Ciframe%20src=http://mozektevidi.net%3E%3C/iframe%3Enezabezpeceny,%20hrozi%20tu%20xss.%20A%20i%20s%20pouhym%20xss%20se%20da%20delat%20plno%20veci.%20%3Cspan%20style=display:block;height:1000px%3E%3C/span%3E
nebo na
http://www.e-zabava.net/img_view.php?id=%3C/a%3Eahoj%20jak%20se%20mas.%20Tyto%20stranky%20jsou%20moc%20nezabezpeceny,%20hrozi%20tu%20xss.%20A%20i%20s%20pouhym%20xss%20se%20da%20delat%20plno%20veci.%20%3Cspan%20style=display:block;height:1000px%3E%3C/span%3E

Ošetřete každé vstupy, hrozí XSS

80rac3k slíbil chybu opravit. Mě za rady a pomoc slíbil odkaz na svojich stránkách na můj web. Doufám, že oboje dodrží. Za odkaz budu rád Pohoda .


autor článku Oldřich Šálek | datum publikování 2.březen.2007 17:01 | články o IT bezpečnosti a obraně proti hackingu IT bezpečnost |

Kometáře


Komentáře a diskuze ke článku tady
diskuze ke článku