информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медЗа кого нас держат?Где водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Столлман возвращается в FSF 
 The Great Suspender предположительно... 
 Десятилетняя уязвимость в sudo 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / miscellaneous
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Дубль два. 02.03.05 10:06  Число просмотров: 1444
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Исправил указанные ошибки, добавил кое-какие улучшения.
Прошу вас протестить форум ещё раз.
Тем, кто захочет протестить модераторскую или админскую часть - просьба оставить заявку на форуме, и я повышу вам ваш уровень доступа на форуме.
Ещё раз спасибо ;).
<miscellaneous>
Нужны тестеры для самописного форума. 21.02.05 10:30  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Дописал форум, сейчас он находится в стадии тестирования. Но сложно самому выловить все ошибки и недочёты. Поэтому прошу ваш протестировать мой форум, который сейчас находится по адресу http://forum.npage.net.ru/
Жду ваших предложений - что убрать, что добавить, что исправить или переделать.
Заранее благодарен ;).
Дубль два. 02.03.05 10:06  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Исправил указанные ошибки, добавил кое-какие улучшения.
Прошу вас протестить форум ещё раз.
Тем, кто захочет протестить модераторскую или админскую часть - просьба оставить заявку на форуме, и я повышу вам ваш уровень доступа на форуме.
Ещё раз спасибо ;).
Дубль два хехехе - XSS в имени юзера 02.03.05 14:16  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> Исправил указанные ошибки, добавил кое-какие улучшения.
> Прошу вас протестить форум ещё раз.
> Тем, кто захочет протестить модераторскую или админскую
> часть - просьба оставить заявку на форуме, и я повышу вам
> ваш уровень доступа на форуме.
> Ещё раз спасибо ;).

См. список пользователей, поводи по урлам мышой.
Не урленкодить урлы - страшный моветон хихи.
Исправил. Вроде бы... 04.03.05 09:40  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Проверьте ещё раз, плз.
А есть ли какая-нибудь литература по безопасному cgi-программированию?
Какие символы в переменных надо фильтровать? (или лучше обратиться с этим вопросом в другой раздел?)
новые дыры... 04.03.05 10:35  
Автор: paganoid Статус: Member
Отредактировано 04.03.05 10:58  Количество правок: 2
<"чистая" ссылка>
> Проверьте ещё раз, плз.
> А есть ли какая-нибудь литература по безопасному
> cgi-программированию?
> Какие символы в переменных надо фильтровать? (или лучше
> обратиться с этим вопросом в другой раздел?)

вобщем я там теперь сам n0xi0uz . Вызвано твоими героическими вырезаниями XXX и, видимо, проверкой существования юзера до фильтрации из его ника символов.

Кроме того, есть крепкие подозрения насчет последовательности <>, похоже там ваще записи поехали.

вообще по жизни надо не РЕЗАТЬ, а ЭСКЕЙПИТЬ, причем и по мере вывода тоже, а не только
на фазе сохранения.

Т.е. ЕЖЕЛИ
все, что кладется в базу, окружать '' и эскейпить ' И
во все что кладется в базу-текстфайл вырезать разделитель (или эскейпить, хотя редко на
этой фазе самосознания вообще что либо эскейпят ) И
во всем , что печатается в страницу, заменять html спецсимволы И
во все, что печатается в урлу, делать urlencode и окружать "" И
во всем, что печатается в куки и хедеры, вырезать перевод кареты, И
во всем, что фигуряет в названиях файлов и системных комманд,
вырезать коммандные спецсимволы (на крайняк оставлять только английские буквы) И
если есть какие-та самописные конфиги, там уже надо по формату смотреть, разумеется. Вероятно надо резать переводы кареты.

ТО

жизнь сайта станет гораздо легче, но скушнее.

А ЕСЛИ

не выполняется хотя бы один пункт, жизнь сайта станет тяжелее, но интереснее ;)


А ты, вместо того чтобы при выводе в урле urlencode натравить на параметры и href нормальный с кавычками сделать (да, да, ВЕЗДЕ на форуме, ломает, но...), просто "XXX" вырезал - хотя вполне нормальный символ для имени хехех..
Немного непонятно... 04.03.05 11:11  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
Отредактировано 04.03.05 11:12  Количество правок: 1
<"чистая" ссылка>
> вобщем я там теперь сам n0xi0uz . Вызвано твоими
> героическими вырезаниями XXX и, видимо, проверкой
> существования юзера до фильтрации из его ника символов.

что вы подразумеваете под "ХХХ"? :)


> А ты, вместо того чтобы при выводе в урле urlencode
> натравить на параметры и href нормальный с кавычками
> сделать (да, да, ВЕЗДЕ на форуме, ломает, но...), просто
> "XXX" вырезал - хотя вполне нормальный символ для имени
> хехех..

я так понимаю, urlencode() - это функция в PHP, как она относится к моему Perl-скрипту? Поясните тут пожалуйста.
Насчёт качывычек, - признаю, косяк, буду перерабатывать.
подразумеваю символ = , который не назвал своим именем, дабы... 04.03.05 11:16  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> > вобщем я там теперь сам n0xi0uz . Вызвано твоими
> > героическими вырезаниями XXX и, видимо, проверкой
> > существования юзера до фильтрации из его ника
> символов.
> что вы подразумеваете под "ХХХ"? :)

подразумеваю символ = , который не назвал своим именем, дабы каждый кому не лень, как я
не стал n0xi0uz'ом ;)

> я так понимаю, urlencode() - это функция в PHP, как она
> относится к моему Perl-скрипту? Поясните тут пожалуйста.

Это общий метод кодирования спецсимволов в URL RFC1738. Наверняка
имеется такая ф-я и в пёрле, не может не быть.
Ясненько. 04.03.05 11:31  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
> > > вобщем я там теперь сам n0xi0uz . Вызвано твоими
> > > героическими вырезаниями XXX и, видимо,
> проверкой
> > > существования юзера до фильтрации из его ника
> > символов.
> > что вы подразумеваете под "ХХХ"? :)
>
> подразумеваю символ = , который не назвал своим именем,
> дабы каждый кому не лень, как я
> не стал n0xi0uz'ом ;)

Это вроде исправил, - теперь проверка существования юзера происходит после фильтрации переменной, содержащей его логин.

> > я так понимаю, urlencode() - это функция в PHP, как
> она
> > относится к моему Perl-скрипту? Поясните тут
> пожалуйста.
>
> Это общий метод кодирования спецсимволов в URL RFC1738.
> Наверняка
> имеется такая ф-я и в пёрле, не может не быть.

Да, гугль мне помог, - функция, действительно есть. Так что скоро и ссылки поправлю.
Спасибо за помощь! ;) Ещё есть замечания?
замечания.. 04.03.05 16:08  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> Спасибо за помощь! ;) Ещё есть замечания?

скоро совсем тебе там все развалю хыхы

Ну еще имеет место быть посылка сообщений от чужого имени ( {input type=hidden name=uname value=test1>}меняешь и ура), XSS там же , лечение - не использовать hidden поля.

javascript ссылки в "адрес сайта", лечение - разбор урлы, отсечение схем кроме http

опечаточка "Колчество сообщений" в кабинете..
Исправления... 09.03.05 02:45  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
Отредактировано 09.03.05 02:46  Количество правок: 1
<"чистая" ссылка>
> > Спасибо за помощь! ;) Ещё есть замечания?
>
> скоро совсем тебе там все развалю хыхы

Только рад буду :). Честно, - чем больше ошибок Вы находите, тем для форума лучше ;).

> Ну еще имеет место быть посылка сообщений от чужого имени (
> {input type=hidden name=uname value=test1>}меняешь и
> ура), XSS там же , лечение - не использовать hidden поля.

Исправил.

> javascript ссылки в "адрес сайта", лечение - разбор урлы,
> отсечение схем кроме http

Чего не надо допускать в ссылке, чтобы обезопасить её от javascript?

> опечаточка "Колчество сообщений" в кабинете..

Исправил ;).
Ещё раз спасибо за помощь! ;)
Ошибки... 09.03.05 10:47  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> > > Спасибо за помощь! ;) Ещё есть замечания?
> >
> > скоро совсем тебе там все развалю хыхы
> Только рад буду :). Честно, - чем больше ошибок Вы
> находите, тем для форума лучше ;).

мне, конечно, лестно что ты меня прям так на "Вы", но не настолько
уж я и нагадил, чтоб от меня такую дистанцию держать ;))

>
> > Ну еще имеет место быть посылка сообщений от чужого
> имени (
> > {input type=hidden name=uname value=test1>}меняешь
> и
> > ура), XSS там же , лечение - не использовать hidden
> поля.
>
> Исправил.


Зер гуд

>
> > javascript ссылки в "адрес сайта", лечение - разбор
> урлы,
> > отсечение схем кроме http
>
> Чего не надо допускать в ссылке, чтобы обезопасить её от
> javascript?

давать начинаться только с http:// и урленкодить урленкодить урленкодить урленкодить урленкодить урленкодить

>
> > опечаточка "Колчество сообщений" в кабинете..
>
> Исправил ;).
> Ещё раз спасибо за помощь! ;)


Далее ошибки..

когда выводятся значения полей внутрь input value="" , не ескейпятся html символы. Т.ч ввести имя к примеру в личном кабинете >>Василий "бронебойный"<< не удается. Т.е. удается, но все имя не показывается.

Далее. Urlencode ты по прежнему игнорируешь, со всеми вытекающими. К примеру, завел я узера n0xi0uzz"boom , тыкаешь на него и попадаешь в страницу с ТВОИМИ данными.

Когда выводятся данные по пользователю, нет урленкода, т.ч. там тож разгул XSS

Он же, урленкод..
имя пользователя test" disabled " - и данные юзера нельзя просмотреть, ибо ссылка задизяблена..

Далее - спуф админского имени - заводишь юзера "n0xi0uzz " (без кавычек) и получается похожий чел.

Юзер с пустым именем (вводишь = и поехали)..



Исправления... 09.03.05 14:25  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
Отредактировано 09.03.05 14:28  Количество правок: 1
<"чистая" ссылка>
>
> мне, конечно, лестно что ты меня прям так на "Вы", но не
> настолько
> уж я и нагадил, чтоб от меня такую дистанцию держать ;))

OK, перехожу на "ты" ;).


> > > javascript ссылки в "адрес сайта", лечение -
> разбор
> > урлы,
> > > отсечение схем кроме http
> >
> > Чего не надо допускать в ссылке, чтобы обезопасить её
> от
> > javascript?
>
> давать начинаться только с http:// и урленкодить
> урленкодить урленкодить урленкодить урленкодить урленкодить
>

Исправлено.


>
> Далее ошибки..
>
> когда выводятся значения полей внутрь input value="" , не
> ескейпятся html символы. Т.ч ввести имя к примеру в личном
> кабинете >>Василий "бронебойный"<< не удается.
> Т.е. удается, но все имя не показывается.

"не ескейпятся"="не убираются"? Или как? :) Поясни, пожалуйста тут, а то непонятно, что нужно делать, чтобы исправить ;).

> Далее. Urlencode ты по прежнему игнорируешь, со всеми
> вытекающими. К примеру, завел я узера n0xi0uzz"boom ,
> тыкаешь на него и попадаешь в страницу с ТВОИМИ данными.

Исправлено.

> Когда выводятся данные по пользователю, нет урленкода, т.ч.
> там тож разгул XSS

Исправлено.

> Он же, урленкод..
> имя пользователя test" disabled " - и данные юзера
> нельзя просмотреть, ибо ссылка задизяблена..

Исправлено

> Далее - спуф админского имени - заводишь юзера "n0xi0uzz "
> (без кавычек) и получается похожий чел.

А нужно ли запрещать ники, похожие на админские? ;)

> Юзер с пустым именем (вводишь = и поехали)..
>
Исправлено.

Долго мучался с urlencode, исправляя все ссылки :).
Кстати, саму функцию пришлось самому писать, вот она:
sub urlencode {
 my $URLencode=shift;
 $URLencode=~s/([^0-9A-Za-z_ ])/'%'.unpack('H2',$1)/ge;
 $URLencode=~s/\s/+/g;
 return $URLencode;
}

---
Спасибо за помощь ;).
XSS в email и url - не фильтруются " со всеми вытекающими 21.02.05 18:33  
Автор: paganoid Статус: Member
<"чистая" ссылка>
где именно? при регистрации? или при изменении личной информации? 22.02.05 02:04  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Правь везде ) кстати, а что с тегами типа . Их использование в постах внедрять будешь? 22.02.05 09:42  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
Буду, но попозже. Или сделаю их в стиле phpBB (типа, [b],... 22.02.05 10:07  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Буду, но попозже. Или сделаю их в стиле phpBB (типа, [b], [i] и т.п.)... Сейчас пока форум прикрыл, пока не исправлю уже найденные ошибки, потом снова открою. Спасибо за помощь! ;)
при регистрации, но допускаю, что и при изменении тоже. Фильтровать надо при любом сохранении, т.ч. без разницы. 22.02.05 10:35  
Автор: paganoid Статус: Member
Отредактировано 22.02.05 10:40  Количество правок: 1
<"чистая" ссылка>
кстати урлы вида javascript:blablabla тоже не фильтровались
Спасибо, будет учтено и исправлено! ;) 22.02.05 12:18  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Навигация страдает, есть ошибки. См посты юзера tester13 21.02.05 11:03  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
Запостил тему, и сам себе поотвечал на неё, и вот сейчас вылетел с "интернал сервер еггог" ;-) Больше зайти не могу... 21.02.05 10:43  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach