webhosting by: WebSupport.sk                                             UnlimitedHosting | CustomHosting | FreeWeb.sk
HomeblogsNekroman's blog

XSS na www.stv.sk

Nekroman's picture
17 February, 2008 - 21:52 — Nekroman

Dnes, keď som chcel vedieť čo ide v TV, tak som objavil možnosť XSS na stránke www.stv.sk. XSS sa dá využiť hneď na hlavnej stránke vo vyhľadávaní. Ihneď som ich upozornil e-mailom, ale podľa mňa taká veľká spoločnosť by si nemala dovoliť takú začiatočnícku chybu.
Screen:
Free Image Hosting at www.ImageShack.us

Average rating
(4 votes)

Comments

Comment viewing options

Select your preferred way to display the comments and click "Save settings" to activate your changes.
19 February, 2008 - 11:13 — bon
bon's picture

Re: XSS na www.stv.sk

stv je spolocnost? :)

18 February, 2008 - 10:28 — socket
socket's picture

Re: XSS na www.stv.sk

po 1. takéto veci sa nemajú riešiť v bolgoch ale iba ako krátka správička (news) /už sa to tu veľakrát rozoberalo/
po 2. to že si to dovoľilo STV nie je nič nezvyčajné. pri takej konkurencii v xss ;)
po 3. priami útok na obeť sa cez to realizovať nedá.
_______________________________________________________
int socket(int domain, int type, int protocol);

18 February, 2008 - 10:38 — ehmo
ehmo's picture

Re: XSS na www.stv.sk

to po 3. lebo si sa rozhodol?
http://blog.synopsi.com/2008-02-16/velky-test-bezpecnosti-znamych-webov-...

btw keby si cital pod tym diskusiu vedel by si, ze je tam aj pekny get XSS
------------------------------
http://blog.synopsi.com

18 February, 2008 - 13:23 — krym
krym's picture

Re: XSS na www.stv.sk

diskusiu, ktora bola medzi mnou a ehmom pod tymto prispevkom som unpublishol (pre zvedavcov kde sa stratila), kedze aj pre mna platia pravidla tykajuce sa obsahu (nesuvisela priamo s autorovym blogom)

______________
nález plný strát

18 February, 2008 - 11:34 — socket
socket's picture

Re: XSS na www.stv.sk

ano, máš pravdu už som si to všimol. no ja som narážal na to čo označil autor blogu ako "bezpečnostnú dieru" ;))
_______________________________________________________
int socket(int domain, int type, int protocol);

18 February, 2008 - 01:42 — SeXy (not verified)

Re: XSS na www.stv.sk

ked uz stv tak pridame aj konkurenciu, markizu :D

Click

17 February, 2008 - 23:05 — pa3k
pa3k's picture

Re: XSS na www.stv.sk

XSS vo vyhľadávaní nie je až taký veľký problém. Navyše vyhľadávanie neberie GET ale len POST, takže možnosť zneužitia podvrhnutím linku nehrozí. Je na tej sajte vôbec niečo, čo by sa dalo cez túto náchylnosť na XSS zneužiť? XSS by to bolo, ak by si takýmto spôsobom vedel ukradnúť SESSION... napríklad dostať JS do registračných údajov, ktoré sa (neošetrené) zobrazujú v admine ako HTML/JS. To už by bola iná káva, ale toto? Vidím tam nejaký prihlasovací form, no zdá sa, že je to riešené cez phpBB fórum, ktoré by na toto malo byť ošetrené. Samozrejme výstup je dobré ošetriť aj na výstupe search tak aby neprešlo HTML, no až taká extra závažná chyba to nie je. Chyba to teda je :) ale nič vážne. XSS to bude ak šlohneš adminovy alebo userovy SESSION ;) toto je len drobnosť. Alebo mi niečo ušlo? :)

18 February, 2008 - 11:29 — cortex (not verified)

Re: XSS na www.stv.sk

mnohokrat je ale problem s tym, ze "programator" pouzije REQUERST aj ked vo forme je post.

18 February, 2008 - 01:33 — ehmo
ehmo's picture

Re: XSS na www.stv.sk

pa3k, to ze nevies XSS pouzivat, je tvoj problem ;)
btw stv je derave ako ...
http://stv.sk/relacieaz/abeceda/%3Cscript%3Ealert('xss')%3C/script%3E/
nemam co riesit. fatchilli = bordel. bezpecnost dnes zaujima tak max symbio.cz, monogram.sk a h1.cz
zvysok su suflikanti

vcera som o tomto pisal clanok

doplnene: poslal som fatchilli upozornenie, snad to pomoze.
------------------------------
http://blog.synopsi.com

18 February, 2008 - 12:39 — pa3k
pa3k's picture

Re: XSS na www.stv.sk

No XSS používať viem IMHO dobre, práve preto viem, že ako výstup z POST (kľudne aj GET) formulára vyhľadávania je XSS prakticky nepoužiteľné. Mimochodom už to tučnéčili opravili. Viem, že tebe to nemusím vysvetľovať :) a článok som samozrejme čítal. O security sa trocha zaujímam, pretože ma to živí. Pravda je taká, že ak je XSS len vo vyhľadávaní, musíš pre docielenie nejakého významného efektu (krádež session) použiť v kombinácii s touto dierkou ešte minimálne jednu dalšiu fintu, napríklad niečo zo sociálneho inžinierstva, alebo zneužitie nejakého neošetreného guestbooku na sajte. Samo o sebe to priamy bezpečnostný problém s reálnou hrozbou priameho dopadu proste nepredstavuje a za tým si stojím :) nenazval by som to XSS diera, ale náchylnosť na XSS útok. Ak myslíš, že sa mýlim, uveď prosím nejaký protiargument rád sa nechám poučiť.

PS: týmto nechcem spochybňovať tvoje znalosti alebo znalosti autora blogu, nechcem nikoho napádať, len rozumne diskutovať. IMHO *JE* vhodné upozorňovať aj na tekéto drobné problémy, no zároveň treba uviesť na pravý obraz aj mieru rizika. To už môžem pokojne označiť ako dieru aj toto:

http://blog.synopsi.com/2008-02-18/--------------------paradox-ochrany-sukromnych-informacii
--------------------------%22%22''%3Cscript%3Ealert(document.cookie)%3C/script%3E
;) a to je minimálne rovnako dôležitá hrozba, aj keď na priamy útok sa ešte stále použiť nedá.
http://www.kvalitne.sk/sample/capture-ehmo-xss.png

6 March, 2008 - 09:07 — ehmo
ehmo's picture

Re: XSS na www.stv.sk

az teraz som si vsimol ze si odpisal. ano, chyba bola, chyba bola odstranena. riziko pouzivania verejnych sablon. kazdopadne aj majster sa utne, poznas to. chybu som hned odstranil a uz pracujeme na redesigne, kde sa podobne veci stavat nebudu, lebo to budem mat pekne pod kontrolou.

co sa tyka XSS, ak sa zivis security tak musis vediet, ze je jedno kde bola XSS objavena. XSS ma niekolko vyhod. Uplne obchadza SSL, cize ti nepomzoe zakryptovany connect, pretoze XSS je na strane klienta. Cez XSS nie je nutne kradnut session, alebo cookies. Cez XSS je mozne pustit proxy, cez XSS je mozne vytvorit redirect na ine stranky a ked cloveka presmeruje napr zo zoznamu.sk na tatrabanku.sk s tym, ze cez XSS pozmenis casti stranok, uspech je daleko vyssi ako v akomkolvek inom pripade. Myslim ze uz bolo hodne vela o tomto popisane inde. XSS bolo vyuzite na vytvorenie filtru do gmail a ten potom odosielal prijatu postu do konta utocnika. Nic zlozite. XSS sa vyuziva na rozne cervy, sam rSnake, Roland a kopec inych vytvorili jeden z najlepsich diminutive wormov, akych som kedy videl. Ja uz som o tejto teme tolkokrat pisal, ze nemam moc chut sa opat rozpisovat. Urcite toho najdes dost. Kazdopadne pre ludi ako som ja je len dobre, ak si vacsina mysli ze XSS nie je dostatocna chyba, lebo vzdy bude pre nas priestor ukazat uplny opak
------------------------------
http://blog.synopsi.com

17 February, 2008 - 22:14 — ehmo
ehmo's picture

Re: XSS na www.stv.sk

aj vacsie si to dovolia ;)
------------------------------
http://blog.synopsi.com

Comment viewing options

Select your preferred way to display the comments and click "Save settings" to activate your changes.
webhosting by: WebSupport.sk UnlimitedHosting | CustomHosting | FreeWeb.sk