Zábava s XSS na e-zabava.net Mozektevidi.net - Mozektevidi.net.

Zábava s XSS na e-zabava.net

XSS útok není jenom sranda, tady jde o život(nebo jen o weby?). Objevil jsem XSS chybu u jednoho zábavního serveru e-zabava.net. Co všechno je XSS (Cross-site scripting)?

XSS útok na e-zabava.net

V době nejvyššího pracovního nasazení mi píše nick 80rac3k na skype. Žádá o zhodnocení svojich stránek po straně bezpečnostní:

Žádost na skype

[4.2.2007 12:14:51] 80rac3k píše: zdarec, nevím, jestli tu jsi...pokud jo, tak napiš, dík
Doufám, že nevadí tykání

[11.2.2007 17:04:01] mozekk750 píše: tykání nevadí, co potřebuješ
tykání nevadí, co potřebuješ. Vícekrát se ptát nebudu

[14.2.2007 17:27:01] 80rac3k píše: chtěl jsem, jestli by ses nezkusil podívat na můj web - http://www.e-zabava.net ...jestli tam nenajdeš nějaké bezpečnostní chyby
[14.2.2007 17:27:09] 80rac3k píše: spíš jen tak zhruba
[14.2.2007 17:27:29] 80rac3k píše: páč detailně by to bylo kvůli spoustě scriptů asi na dost dlouho
[14.2.2007 17:27:32] 80rac3k píše: šlo by to?
[14.2.2007 17:28:27] 80rac3k píše: v poslední době sem se to snažil co nejvcí zabezpečit, aby nebylo snadné to hacknout, tak doufám, že se mi to podařilo

[14.2.2007 17:32:15] mozekk750 píše: máš tam chybu Machr

To ho jistě moc nepotěšilo, že mu bez bez dlouhého rozmýšlění sděluji tvrdou zprávu. Taková podpásovka no. Ale nedá se nic dělat. Zbytek rozhovoru mu vysvětluji, že jde o chybu xss (Cross-site scripting). PHP injekci jsem ani nezkoušel, nepočítám s tím, že by fungovala.
Neznalí si myslí, že XSS je jenom kosmetická záležitost. Znalí si jistě vzpomenou na Syslovo hacknutí žive.cz. Přes XSS můžu ukradnou cookies, měnit strukturu webové stránky, vkládat JS, html, css, iframe, přesměrovat celou www na jinou doménu a provádět phising. Jen pohleďte na následující kód.
http://www.e-zabava.net/img_view.php?id=%3C/a%3Eahoj%20jak%20se%20mas.%20Tyto%20stranky%20jsou%20moc%20%3Ciframe%20src=http://mozektevidi.net%3E%3C/iframe%3Enezabezpeceny,%20hrozi%20tu%20xss.%20A%20i%20s%20pouhym%20xss%20se%20da%20delat%20plno%20veci.%20%3Cspan%20style=display:block;height:1000px%3E%3C/span%3E
nebo na
http://www.e-zabava.net/img_view.php?id=%3C/a%3Eahoj%20jak%20se%20mas.%20Tyto%20stranky%20jsou%20moc%20nezabezpeceny,%20hrozi%20tu%20xss.%20A%20i%20s%20pouhym%20xss%20se%20da%20delat%20plno%20veci.%20%3Cspan%20style=display:block;height:1000px%3E%3C/span%3E

Ošetřete každé vstupy, hrozí XSS

80rac3k slíbil chybu opravit. Mě za rady a pomoc slíbil odkaz na svojich stránkách na můj web. Doufám, že oboje dodrží. Za odkaz budu rád Pohoda .


autor článku OS | datum publikování 2.březen.2007 17:01 | články o IT bezpečnosti a obraně proti hackingu IT bezpečnost |

Kometáře

#1 ">asdas www

">asdas reaguj

datum 02.03.2007 22:57

unknown unknown

#2 Stoyan wwwstoyan.ic.cz

Jen malej test;) reaguj

datum 02.03.2007 22:57

unknown unknown

#3 MzK wwwmozektevidi.net

TO Stoyan: Jojo, nostalgie z hacknutí sysla co :) reaguj

datum 03.03.2007 16:56

unknown unknown

#4 <i>test www

<i>test reaguj

datum 04.03.2007 16:36

unknown unknown

#5 test www

test reaguj

datum 04.03.2007 16:46

unknown unknown

#6 test www

test reaguj

datum 04.03.2007 16:50

unknown unknown

#7 test www

test reaguj

datum 04.03.2007 16:58

unknown unknown

#8 Profik123 wwwhackpages.ic.cz

Sry, za takovej bordel tady. Jen jsem něco zkoušel. Mimochodem měl by sis nejdřív zamést před vlastním prahem. Jde ti tady taky XSS :-D reaguj

datum 04.03.2007 17:07

unknown unknown

#9 MzK wwwmozektevidi.net

TO Profik123: Můžeš mi říci co to přesně dělá? Protože v Opeře vidím jenom odkaz na který nejde kliknout. V IE klikám na odkaz a nic se nestane. Ve FF jsem také nezaznamenal nic, pouze po kliknutí na odkaz vyskočí okno, kde oznamují, že odkaz je špatný. Nechápu co tu vidíš. reaguj

datum 04.03.2007 17:18

unknown unknown

#10 MzK wwwmozektevidi.net

TO Profik123: Tak jo, v Opeře se po kliknutí na odkaz vytíží CPU na 50%. To je vše nebo ještě něco v některém prohlížeči? reaguj

datum 04.03.2007 17:21

unknown unknown

#11 Profik123 www

test ještě jednou... reaguj

datum 04.03.2007 18:04

unknown unknown

#12 Profik123 www

sry znova reaguj

datum 04.03.2007 18:06

unknown unknown

#13 Profik123 wwwhackpages.ic.cz

Ten před tímhle konečně funguje. Je to vázaný na událost OnMouseMove, takže na ten odkaz musíš najet... :-P reaguj

datum 04.03.2007 18:07

unknown unknown

#14 ccc www

mozektevidi.net/ " "onMouseMove='alert(123)'> reaguj

datum 04.03.2007 18:07

unknown unknown

#15 MzK wwwmozektevidi.net

TO Profik123: reakce na »Profik123«: konečně funguje. Máš pravdu, přidám tedy ještě ENT_QUOTES snad je to konečné řešení. A ty první co jsi posílal také něco dělají? přišel jsem jen na to vytížení Opery a pád programu, což není málo SMIL reaguj

datum 04.03.2007 18:28

unknown unknown

#16 Profik123 wwwhackpages.ic.cz

2MzK: No nedělají... vždycky jsem tam udělal někde chybu. Problém je ten, že ty tady máš pro adresu v MySQL rezervováno "jen" 40 znaků a s tím se toho nedá moc vymyslet :-) reaguj

datum 04.03.2007 18:29

unknown unknown

#17 MzK wwwmozektevidi.net

TO Profik123: Tak to zatížení Opery je fajn vedlejší účinek. reaguj

datum 04.03.2007 18:44

unknown unknown

#18 MzK wwwmozektevidi.net

Tak jsem to snad opravil. Snad. Netestoval jsem všechny možnosti. Je možné, že to bude horší než to bylo reaguj

datum 04.03.2007 22:47

unknown unknown

#19 test www

no nic. skuska mikrofonov. tak nabuduce. reaguj

datum 15.03.2007 01:34

unknown unknown

#20 80rac3k wwwwww.e-zabava.net

No, tak musím povrdit, že tento článek je pravda. Skutečně jsem požádal o pokus hacknout tento web. Jinak už je to opravené, jak můžete sami vidět, když zkusíte zadat do url, co je napsáno výše v článku - už jsou znaky odfiltrované.
Ještě bych rád vzpomenul, že po nějakém týdnu mi přišel e-mail o bezpečnostní chybě, která na webu je. Člověka, který mi o chybě napsal, neznám a o to více si vážím jeho solidnosti. Proto mu moc děkuji (kdyby na tuhle stránku náhodou narazil).
Ještě pro autora těchto stránek: Omlouvám se, že jsem ještě neumístil odkaz, ale psal jsem, že to bude s novým designem, kde bude na ten odkaz více místa. Bohužel jsem neměl čas na designu zapracovat, páč mám dost jiné práce, ale s novým designem odkaz určitě umístím ;-) reaguj

datum 16.03.2007 16:35

unknown unknown

#21 MzK wwwmozektevidi.net/

TO 80rac3k: Budu si to pamatovat SMIL PS, i já dělám chyby --> mozektevidi.net/clanek/xss-na… reaguj

datum 16.03.2007 16:47

unknown unknown

#22 anonym www

Pouze jenom zkouška to Xss si musím taky někdy vyzkoušet(NIC VE ZLÍM) reaguj

datum 23.03.2007 20:51

unknown unknown

#23 MzK wwwmozektevidi.net/

TO :): Tak to zkus jinde, tu je to opravené 8-) reaguj

datum 23.03.2007 20:55

unknown unknown

Nové kometáře nejsou povolené.