mnich napísal/a:
-------------------------------------------------------
> Nazdar
nazdar
> veciam ako XSS a bezpecnost webu sa
> rozumiem dost laicky ale pri citani tejto diskusie
> a letmom pohlade zdrojovy kod ma napada otazka.
> Nebude chyba AJ v nejakej inej casti kodu.
nie, pokiaľ viem, nie je. ak máš podozrenie, napíš súkromnú správu (PM)
> 1. Pretoze vlozenim nejakeho XSS skriptu pomocou
> napriklad mena, niesom schopny zavolat ziadny php
> kod/skript z admin/ pretoze tam kontroluje
> identitu(session) admina, ktoru nemam. takze tato
> moznost odpada.
Ak uz sa script vloží, je to chyba. Závažnosť hrozby závisí od miesta výpisu vloženého kódu. Ak je to administrácia, je to kritické, ak je to "len" výpis z frontendu, je to nebezpečné menej, ale rozhodne by som to nepodceňoval. je niekoľko spôsobov použiťia XSS zraniteľnosti a aj ten na prvý pohľad najmenej rizikový môže niekto šikovný zneužiť, rozdiel je len v tom, že útok bude dlhšie trvať a pod.
> 2. Potom ma napada volat z XSS kodu nejaky verejne
> pristupny subor a vnom sa pokusit napr o sql
> injections atd. Tu mi to tiez pride ako nezmysel
> nakolko verejne pristupny skript by som mohol
> volat aj bez XSS cize asi nie.
SQL injection s tým moc nesúvisí, ak sú otvorené dvere (XSS) je zbytočné vylamovať okno
> 3. A na zaver pouzit nieco ako javascript text
> ktory by presiel cez mysql_real_escape_string a
> bol schopny o sql injection o tomto moc neviem ale
> podla mna to nieje mozne.
>
> Iny sposob utoku ma nenapada ale ocakavam ze bude
> v nejakej casti kodu este nejaka chyba ktora je
> volana nejako specialne cez xss a zneuzita. (Vobec
> ma nenapada ako a kde)
čisto napísaný CMS by mal HTML/JS vrstvu oddeliť pomocou šablón a všetko čo ide na výstup do šablóny ošetriť (strip_tags, htmlspecialchars), phpRS je trošku iný a v tomto ohľade nemej systémový.
> Preto by asi nebolo odveci opravit miesto prieniku
> tak aby aj v pripade XSS chyby nebol utok
> preveditelny a potom samozrejme opravit aj XSS
> miesta.
samozrejme dá sa ošetriť vstup hromadne, napríklad v /admin/aext_prom.php a Jirka sám navrhol ochranu na XSS rozšíriť automaticky na tomto mieste a v scriptoch, kde potrebuješ povoliť vstup HTML (napríklad vlastné menu v editácii účtu čitateľa) povolíš pomocou nastavenia konštanty.
Mimochodom, dnes už pokus o XSS útok detekujú niektorí webhosteri na úrovni serveru alebo firewallu, čo je na jednej strane OK, ale netreba sa na to spoliehať. Príklad neškodného pokusu o XSS: [
http://lipno-online.cz/?%3Cscript%3Ealert(document.cookie);%3C/script%3E] , ktorý pekne zachytí server.