информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Страшный баг в WindowsСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / miscellaneous
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
новые дыры... 04.03.05 10:35  Число просмотров: 1995
Автор: paganoid Статус: Member
Отредактировано 04.03.05 10:58  Количество правок: 2
<"чистая" ссылка>
> Проверьте ещё раз, плз.
> А есть ли какая-нибудь литература по безопасному
> cgi-программированию?
> Какие символы в переменных надо фильтровать? (или лучше
> обратиться с этим вопросом в другой раздел?)

вобщем я там теперь сам n0xi0uz . Вызвано твоими героическими вырезаниями XXX и, видимо, проверкой существования юзера до фильтрации из его ника символов.

Кроме того, есть крепкие подозрения насчет последовательности <>, похоже там ваще записи поехали.

вообще по жизни надо не РЕЗАТЬ, а ЭСКЕЙПИТЬ, причем и по мере вывода тоже, а не только
на фазе сохранения.

Т.е. ЕЖЕЛИ
все, что кладется в базу, окружать '' и эскейпить ' И
во все что кладется в базу-текстфайл вырезать разделитель (или эскейпить, хотя редко на
этой фазе самосознания вообще что либо эскейпят ) И
во всем , что печатается в страницу, заменять html спецсимволы И
во все, что печатается в урлу, делать urlencode и окружать "" И
во всем, что печатается в куки и хедеры, вырезать перевод кареты, И
во всем, что фигуряет в названиях файлов и системных комманд,
вырезать коммандные спецсимволы (на крайняк оставлять только английские буквы) И
если есть какие-та самописные конфиги, там уже надо по формату смотреть, разумеется. Вероятно надо резать переводы кареты.

ТО

жизнь сайта станет гораздо легче, но скушнее.

А ЕСЛИ

не выполняется хотя бы один пункт, жизнь сайта станет тяжелее, но интереснее ;)


А ты, вместо того чтобы при выводе в урле urlencode натравить на параметры и href нормальный с кавычками сделать (да, да, ВЕЗДЕ на форуме, ломает, но...), просто "XXX" вырезал - хотя вполне нормальный символ для имени хехех..
<miscellaneous>
Нужны тестеры для самописного форума. 21.02.05 10:30  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Дописал форум, сейчас он находится в стадии тестирования. Но сложно самому выловить все ошибки и недочёты. Поэтому прошу ваш протестировать мой форум, который сейчас находится по адресу http://forum.npage.net.ru/
Жду ваших предложений - что убрать, что добавить, что исправить или переделать.
Заранее благодарен ;).
Дубль два. 02.03.05 10:06  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Исправил указанные ошибки, добавил кое-какие улучшения.
Прошу вас протестить форум ещё раз.
Тем, кто захочет протестить модераторскую или админскую часть - просьба оставить заявку на форуме, и я повышу вам ваш уровень доступа на форуме.
Ещё раз спасибо ;).
Дубль два хехехе - XSS в имени юзера 02.03.05 14:16  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> Исправил указанные ошибки, добавил кое-какие улучшения.
> Прошу вас протестить форум ещё раз.
> Тем, кто захочет протестить модераторскую или админскую
> часть - просьба оставить заявку на форуме, и я повышу вам
> ваш уровень доступа на форуме.
> Ещё раз спасибо ;).

См. список пользователей, поводи по урлам мышой.
Не урленкодить урлы - страшный моветон хихи.
Исправил. Вроде бы... 04.03.05 09:40  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Проверьте ещё раз, плз.
А есть ли какая-нибудь литература по безопасному cgi-программированию?
Какие символы в переменных надо фильтровать? (или лучше обратиться с этим вопросом в другой раздел?)
новые дыры... 04.03.05 10:35  
Автор: paganoid Статус: Member
Отредактировано 04.03.05 10:58  Количество правок: 2
<"чистая" ссылка>
> Проверьте ещё раз, плз.
> А есть ли какая-нибудь литература по безопасному
> cgi-программированию?
> Какие символы в переменных надо фильтровать? (или лучше
> обратиться с этим вопросом в другой раздел?)

вобщем я там теперь сам n0xi0uz . Вызвано твоими героическими вырезаниями XXX и, видимо, проверкой существования юзера до фильтрации из его ника символов.

Кроме того, есть крепкие подозрения насчет последовательности <>, похоже там ваще записи поехали.

вообще по жизни надо не РЕЗАТЬ, а ЭСКЕЙПИТЬ, причем и по мере вывода тоже, а не только
на фазе сохранения.

Т.е. ЕЖЕЛИ
все, что кладется в базу, окружать '' и эскейпить ' И
во все что кладется в базу-текстфайл вырезать разделитель (или эскейпить, хотя редко на
этой фазе самосознания вообще что либо эскейпят ) И
во всем , что печатается в страницу, заменять html спецсимволы И
во все, что печатается в урлу, делать urlencode и окружать "" И
во всем, что печатается в куки и хедеры, вырезать перевод кареты, И
во всем, что фигуряет в названиях файлов и системных комманд,
вырезать коммандные спецсимволы (на крайняк оставлять только английские буквы) И
если есть какие-та самописные конфиги, там уже надо по формату смотреть, разумеется. Вероятно надо резать переводы кареты.

ТО

жизнь сайта станет гораздо легче, но скушнее.

А ЕСЛИ

не выполняется хотя бы один пункт, жизнь сайта станет тяжелее, но интереснее ;)


А ты, вместо того чтобы при выводе в урле urlencode натравить на параметры и href нормальный с кавычками сделать (да, да, ВЕЗДЕ на форуме, ломает, но...), просто "XXX" вырезал - хотя вполне нормальный символ для имени хехех..
Немного непонятно... 04.03.05 11:11  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
Отредактировано 04.03.05 11:12  Количество правок: 1
<"чистая" ссылка>
> вобщем я там теперь сам n0xi0uz . Вызвано твоими
> героическими вырезаниями XXX и, видимо, проверкой
> существования юзера до фильтрации из его ника символов.

что вы подразумеваете под "ХХХ"? :)


> А ты, вместо того чтобы при выводе в урле urlencode
> натравить на параметры и href нормальный с кавычками
> сделать (да, да, ВЕЗДЕ на форуме, ломает, но...), просто
> "XXX" вырезал - хотя вполне нормальный символ для имени
> хехех..

я так понимаю, urlencode() - это функция в PHP, как она относится к моему Perl-скрипту? Поясните тут пожалуйста.
Насчёт качывычек, - признаю, косяк, буду перерабатывать.
подразумеваю символ = , который не назвал своим именем, дабы... 04.03.05 11:16  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> > вобщем я там теперь сам n0xi0uz . Вызвано твоими
> > героическими вырезаниями XXX и, видимо, проверкой
> > существования юзера до фильтрации из его ника
> символов.
> что вы подразумеваете под "ХХХ"? :)

подразумеваю символ = , который не назвал своим именем, дабы каждый кому не лень, как я
не стал n0xi0uz'ом ;)

> я так понимаю, urlencode() - это функция в PHP, как она
> относится к моему Perl-скрипту? Поясните тут пожалуйста.

Это общий метод кодирования спецсимволов в URL RFC1738. Наверняка
имеется такая ф-я и в пёрле, не может не быть.
Ясненько. 04.03.05 11:31  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
> > > вобщем я там теперь сам n0xi0uz . Вызвано твоими
> > > героическими вырезаниями XXX и, видимо,
> проверкой
> > > существования юзера до фильтрации из его ника
> > символов.
> > что вы подразумеваете под "ХХХ"? :)
>
> подразумеваю символ = , который не назвал своим именем,
> дабы каждый кому не лень, как я
> не стал n0xi0uz'ом ;)

Это вроде исправил, - теперь проверка существования юзера происходит после фильтрации переменной, содержащей его логин.

> > я так понимаю, urlencode() - это функция в PHP, как
> она
> > относится к моему Perl-скрипту? Поясните тут
> пожалуйста.
>
> Это общий метод кодирования спецсимволов в URL RFC1738.
> Наверняка
> имеется такая ф-я и в пёрле, не может не быть.

Да, гугль мне помог, - функция, действительно есть. Так что скоро и ссылки поправлю.
Спасибо за помощь! ;) Ещё есть замечания?
замечания.. 04.03.05 16:08  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> Спасибо за помощь! ;) Ещё есть замечания?

скоро совсем тебе там все развалю хыхы

Ну еще имеет место быть посылка сообщений от чужого имени ( {input type=hidden name=uname value=test1>}меняешь и ура), XSS там же , лечение - не использовать hidden поля.

javascript ссылки в "адрес сайта", лечение - разбор урлы, отсечение схем кроме http

опечаточка "Колчество сообщений" в кабинете..
Исправления... 09.03.05 02:45  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
Отредактировано 09.03.05 02:46  Количество правок: 1
<"чистая" ссылка>
> > Спасибо за помощь! ;) Ещё есть замечания?
>
> скоро совсем тебе там все развалю хыхы

Только рад буду :). Честно, - чем больше ошибок Вы находите, тем для форума лучше ;).

> Ну еще имеет место быть посылка сообщений от чужого имени (
> {input type=hidden name=uname value=test1>}меняешь и
> ура), XSS там же , лечение - не использовать hidden поля.

Исправил.

> javascript ссылки в "адрес сайта", лечение - разбор урлы,
> отсечение схем кроме http

Чего не надо допускать в ссылке, чтобы обезопасить её от javascript?

> опечаточка "Колчество сообщений" в кабинете..

Исправил ;).
Ещё раз спасибо за помощь! ;)
Ошибки... 09.03.05 10:47  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> > > Спасибо за помощь! ;) Ещё есть замечания?
> >
> > скоро совсем тебе там все развалю хыхы
> Только рад буду :). Честно, - чем больше ошибок Вы
> находите, тем для форума лучше ;).

мне, конечно, лестно что ты меня прям так на "Вы", но не настолько
уж я и нагадил, чтоб от меня такую дистанцию держать ;))

>
> > Ну еще имеет место быть посылка сообщений от чужого
> имени (
> > {input type=hidden name=uname value=test1>}меняешь
> и
> > ура), XSS там же , лечение - не использовать hidden
> поля.
>
> Исправил.


Зер гуд

>
> > javascript ссылки в "адрес сайта", лечение - разбор
> урлы,
> > отсечение схем кроме http
>
> Чего не надо допускать в ссылке, чтобы обезопасить её от
> javascript?

давать начинаться только с http:// и урленкодить урленкодить урленкодить урленкодить урленкодить урленкодить

>
> > опечаточка "Колчество сообщений" в кабинете..
>
> Исправил ;).
> Ещё раз спасибо за помощь! ;)


Далее ошибки..

когда выводятся значения полей внутрь input value="" , не ескейпятся html символы. Т.ч ввести имя к примеру в личном кабинете >>Василий "бронебойный"<< не удается. Т.е. удается, но все имя не показывается.

Далее. Urlencode ты по прежнему игнорируешь, со всеми вытекающими. К примеру, завел я узера n0xi0uzz"boom , тыкаешь на него и попадаешь в страницу с ТВОИМИ данными.

Когда выводятся данные по пользователю, нет урленкода, т.ч. там тож разгул XSS

Он же, урленкод..
имя пользователя test" disabled " - и данные юзера нельзя просмотреть, ибо ссылка задизяблена..

Далее - спуф админского имени - заводишь юзера "n0xi0uzz " (без кавычек) и получается похожий чел.

Юзер с пустым именем (вводишь = и поехали)..



Исправления... 09.03.05 14:25  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
Отредактировано 09.03.05 14:28  Количество правок: 1
<"чистая" ссылка>
>
> мне, конечно, лестно что ты меня прям так на "Вы", но не
> настолько
> уж я и нагадил, чтоб от меня такую дистанцию держать ;))

OK, перехожу на "ты" ;).


> > > javascript ссылки в "адрес сайта", лечение -
> разбор
> > урлы,
> > > отсечение схем кроме http
> >
> > Чего не надо допускать в ссылке, чтобы обезопасить её
> от
> > javascript?
>
> давать начинаться только с http:// и урленкодить
> урленкодить урленкодить урленкодить урленкодить урленкодить
>

Исправлено.


>
> Далее ошибки..
>
> когда выводятся значения полей внутрь input value="" , не
> ескейпятся html символы. Т.ч ввести имя к примеру в личном
> кабинете >>Василий "бронебойный"<< не удается.
> Т.е. удается, но все имя не показывается.

"не ескейпятся"="не убираются"? Или как? :) Поясни, пожалуйста тут, а то непонятно, что нужно делать, чтобы исправить ;).

> Далее. Urlencode ты по прежнему игнорируешь, со всеми
> вытекающими. К примеру, завел я узера n0xi0uzz"boom ,
> тыкаешь на него и попадаешь в страницу с ТВОИМИ данными.

Исправлено.

> Когда выводятся данные по пользователю, нет урленкода, т.ч.
> там тож разгул XSS

Исправлено.

> Он же, урленкод..
> имя пользователя test" disabled " - и данные юзера
> нельзя просмотреть, ибо ссылка задизяблена..

Исправлено

> Далее - спуф админского имени - заводишь юзера "n0xi0uzz "
> (без кавычек) и получается похожий чел.

А нужно ли запрещать ники, похожие на админские? ;)

> Юзер с пустым именем (вводишь = и поехали)..
>
Исправлено.

Долго мучался с urlencode, исправляя все ссылки :).
Кстати, саму функцию пришлось самому писать, вот она:
sub urlencode {
 my $URLencode=shift;
 $URLencode=~s/([^0-9A-Za-z_ ])/'%'.unpack('H2',$1)/ge;
 $URLencode=~s/\s/+/g;
 return $URLencode;
}

---
Спасибо за помощь ;).
XSS в email и url - не фильтруются " со всеми вытекающими 21.02.05 18:33  
Автор: paganoid Статус: Member
<"чистая" ссылка>
где именно? при регистрации? или при изменении личной информации? 22.02.05 02:04  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Правь везде ) кстати, а что с тегами типа . Их использование в постах внедрять будешь? 22.02.05 09:42  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
Буду, но попозже. Или сделаю их в стиле phpBB (типа, [b],... 22.02.05 10:07  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Буду, но попозже. Или сделаю их в стиле phpBB (типа, [b], [i] и т.п.)... Сейчас пока форум прикрыл, пока не исправлю уже найденные ошибки, потом снова открою. Спасибо за помощь! ;)
при регистрации, но допускаю, что и при изменении тоже. Фильтровать надо при любом сохранении, т.ч. без разницы. 22.02.05 10:35  
Автор: paganoid Статус: Member
Отредактировано 22.02.05 10:40  Количество правок: 1
<"чистая" ссылка>
кстати урлы вида javascript:blablabla тоже не фильтровались
Спасибо, будет учтено и исправлено! ;) 22.02.05 12:18  
Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
<"чистая" ссылка>
Навигация страдает, есть ошибки. См посты юзера tester13 21.02.05 11:03  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
Запостил тему, и сам себе поотвечал на неё, и вот сейчас вылетел с "интернал сервер еггог" ;-) Больше зайти не могу... 21.02.05 10:43  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach