01/06/2007 20:05:13
Nuuuuuu
מצאתי חור XSS שמאפשר לי לשתול קוד HTML וJS באתר מסויים. בדקתי.. והאתר יושב על מערכת IIS 6.0 שכמובן תומכת בSSI.. אז ניסיתי להזריק את הקוד הבא: <!--#exec cmd="ls" -->
וזה פשוט לא עשה כלום. מישהו רואה טעות במה שרשמתי ? או שזה לא תמיד עובד וצריך לבדוק משהו לפני ?
ו.. איזה דברים אני יכול להשיג בעזרת XSS ? אם יש לי סה"כ גישה להזריק קוד לדף HTML ?
תודה לעונים (:[ההודעה נערכה על-ידי Nuuuuuu ב-01/06/2007 22:55:08]
02/06/2007 21:01:49
devil kide
XSS רץ על מחשב הלקוח, הIIS הוא מריץ קודים על השרת (ASP)...הוא גם נותן לך שרות של HTTP אבל לא נכנס לזה כרגע
02/06/2007 23:35:15
tweester
אז מה הטעות אצלו ומה הוא לא עשה פסדר
03/06/2007 01:51:24
cp77fk4r
שרתי IIS6 לא מאפשרים הרצה של SSI דרך דפי HTML כברירית מחדל, ולכן "והאתר יושב על מערכת IIS 6.0 שכמובן תומכת בSSI" - לא בטוח נכון.
אגב, IIS אלה שרתים של מיקרוסופט, וls זאת פקודה לינוקסית, בכל אופן, אם זה לא מחזיר לך פלט אני מאמין שהשרת פשוט לא תומך בSSI.
03/06/2007 01:54:19
devil kide
CP, זה לא אמור לרוץ על השרת ולא על הלקוח?
03/06/2007 20:18:01
B-HFH
SSI רץ על השרת , ואפשר לנצל את זה בדרך דומה לXSS . אם מצאת xss , זה לא בהרכח חייב לעזור.
תריץ בגוגל חיפוש עבור server side include , נכון , אין הרבה חומר , זה לא נפוץ - ואני מאמין שמי שמשתמש ב ssi יודע ומכיר בבעיות האלו. לפני כמה שבועות מישהו שאל על זה וננתי חומר שהוא יחסית מצוין , תנסה למצוא את זה (הפורום לא מוצף בהודעות).
אני יחזק את מה שאפיק אמר , שרתי IIS 6 באים עם ברירת מחדל של נטרול כמעט כל האופציות . אם מישהו לא משתמש ב ssi , אז זה גם לא יהיה פעיל בשרת.[ההודעה נערכה על-ידי B-HFH ב-03/06/2007 20:20:13]
04/06/2007 15:59:16
Nuuuuuu
תודה לכולם. בעיקר מה שסיפי אמר לי ענה לי על השאלה.. זה היה אמור לעבוד, אבל כנראה שהשרת פשוט לא תומך בזה דרך.. לפחות לא דרך HTML.
ויש לי שאלה נוספת - דומה אבל לא קשורה לעניין..
במידה ויש לי אפשרות לאמצעות דף דינאמי - כמו פורום או מערכת תגובות אפשרות להעלות משהו שאני כותב לדף אחר, כאשר אני רושם מילים הן ירשמו בדף HTML אליו הן מיועדות ובמידה ואכניס תווין כמו <>\," הם ירשמו לי את הצורה השניה שלהם lt; וכאלה במקום התווים בכדי למנוע כמובן פרצות (סינון תווין בקיצור) האם יש דרך לעקוף את המנגנון הזה ? מישהו חשב על משהו ? או מצא משהו לגביי עקיפה של זה ? תודה
04/06/2007 20:16:21
devil kide
ציטוט: ויש לי שאלה נוספת - דומה אבל לא קשורה לעניין..
במידה ויש לי אפשרות לאמצעות דף דינאמי - כמו פורום או מערכת תגובות אפשרות להעלות משהו שאני כותב לדף אחר, כאשר אני רושם מילים הן ירשמו בדף HTML אליו הן מיועדות ובמידה ואכניס תווין כמו <>\," הם ירשמו לי את הצורה השניה שלהם lt; וכאלה במקום התווים בכדי למנוע כמובן פרצות (סינון תווין בקיצור) האם יש דרך לעקוף את המנגנון הזה ? מישהו חשב על משהו ? או מצא משהו לגביי עקיפה של זה ? תודה מה שאני אומר עכשיו תקח בערבון מוגבל, זה לא יקרה תמיד, ורוב האתרים שיהיו פרוצים ל sl inj יש סיכוי שיהיו פרוצים ל xss , וחוץ מזה, אם יש לך SQL INJ ,ברמה מסויימת לא צריך XSS. אבל זה תלוי במטרה שאתה רוצה.
בכל מקרה, ברוב האתרים, הבדיקה של התקינות וההחלפה של התווים תהיה בזמן ההכנסה לDB. ככה שאם יש לך SQL INJ ואתה יכול להכניס מידע למסד , אתה יכול להכניס תגים ’אסורים’ בלי בדיקה. שוב בערבון מוגבל.
04/06/2007 20:42:53
B-HFH
עדן אני לא חושב שהוא התכוון ל sql .
XSS יכול לבוא בכל צורה , ולא בהכרח כאשר תוכל ליצור משפט שלם... לדוגמא: bla.asp?item1=aaaaaaaa.jpg כלומר יהפוך לתמונה ומכאן יהיה ברור שהפקודה: bla.asp?item1=jscriptbla תריץ קוד. זה מקרה פשוט , אבל זה יכול להגיע לדברים מסובכים שכמה שנראה ש xss מאוד קל - זה לא קבוע.
כדי להבין את בצורה יותר מעמיקה ולדעת לעקוף , פשוט צריך html ו js טוב.
06/06/2007 14:34:54
Nuuuuuu
חח ברור.. ויש אינספור שיטות להזרקת קוד וסוגי חורים של XSS..
אבל הקטע הוא שכמובן יש אתרים שמסננים תווין.. נניח פורום כשאר אני מכניס את התו "<" הוא יראה למשתמש גם ככה "<".. אך אם תסתכל בקוד HTML על מה שרשום במקום הזה הוא לא יראה ככה.. אלא ככה "<" . אז השאלה היא אם יש אפשרות לעקוף את הסינון הזה.. הספציפי הזה..
08/06/2007 16:37:52
cp77fk4r
devil kide, אתה מבלבל את הבחור, אין קשר למה שאמרת, אין קשר בין SQL לבין XSS, אתה פוגש אתרים שפרוצים לשני הבאגים לא בגלל שיש קשר בינהם, אלה בגלל שילדים בני שש בונים את האתרים האלה.
ומה שאמרת הוא נכון במצב שהבדיקה מתבצאת רק כשהנתונים מוכנסים למסד, אבל יש גם אופציות במסדים שגם אם מכניסים להם "ידנית" מחרוזות הם משנים אותן למחרוזות "חוקיות" בזמן שאתה מעדכן.
וNuu..., לא, אם יש חסימה כזאת, ואין שום דברים אחרים שקשורים לזה, לא תוכל לבצע את הפעולה, אגב, למה כל כך חשוב לך XSS? אני ממליץ לך שאת הראש והזמן שיש לך תשקיע בפיתוח דברים יותר רציניים, אל תתעקב על דברים כאלה. (בנימה חיובית לחלוטין)
08/06/2007 18:21:19
Nuuuuuu
חחח תודה סיפי.. אל תדאג אני לא מתבלבל מדביל קיד.. כנראה שהוא לא הבין אותי נכון או משהו..
ממ ובקשר לשאלה שלך על למה אני מתעקב על דברים כאלה.. ברור שיש דברים יותר עמוקים ומעניינים מXSS.. הקטע הוא שהשאלה שלי נובעת מנסיון קבלת הרשאות באתר מסויים ולא בצורה מסויימת אם אתה מבין. זה לא שלמדתי עכשיו איזה נושא כלשהו ואני מנסה למצוא אתר שאפשר לתרגל עליו אלא יש אתר מוסיים שאליו אני רוצה לקבל הרשאות של יותר ממשתמש רגיל ולכן אני בודק אפשרויות רבות (שכמובן בניהן XSS SQL INJ ודברים נוספים יותר מסובכים) ובגלל שמצאתי כמה דברים חשודים התעכבתי עליהם כדי לבדוק לעומק אם יש איזה דרך גישה. ו.. כשאתה אומר "תשקיע בפיתוח דברים יותר רציניים" לאיזה דברים אתה מתכוון ? תן לי דוגמאות.. אולי יצוצו רעיונות חדשים שלא חשבתי עליהם. ו.. תודה על הדירבון..
08/06/2007 18:51:50
devil kide
סיפי, לא הבנת את מה שאמרתי.
אם נניח יש מקום להזריק SQL , ונוכל להכניס את השאילתא הזו:
קוד:INSERT INTO table (info,message) VALUES ("<H1>MY-MESSAGE</H1>",<SCRIPT>....</SCRIPT>") נוכל להכניס כאן XSS.
10/06/2007 02:01:15
Nuuuuuu
כן Devil אבל אתה יודע.. לרוב מערכות של הוספת הודעות לא משתמשות בSQL לדברים כאלה.. אפשר למצוא מערכות שכן עובדות ככה.. לרוב.. לא נראה לי
10/06/2007 03:31:06
cp77fk4r
דווקא לרב הן כן פועלות ככה, לפי מה שיצא לי לפגוש בכל אופן.
אבל נו באמת, אם כבר יש לך גישה להוספה/שינוי ערכים בטבלאות במסד של האתר, אתה לא צריך בכדי להשיג גישה מלאה לנסות להשתמש בXSS.
מה שאתה עושה זה כמו לגרד את האוזן הימנית עם יד שמאל דרך העורף.
10/06/2007 03:56:40
devil kide
הוא שאל איך ניתן להכניס XSS, עניתי על דרך שחשבתי עליה. וזה יכול להיות נורא שימושי, תחשוב שיש לך גישה להכניס XSS לדף הראשי של WALLA, ואתה מפנה את כל הנכנסים (או מקפיץ חלון) אל רד בורד. מצב הכניסות יקפוץ פי 90.
וחוץ מזה, כולם מגרדים ככה את האוזן, מה לא? [ההודעה נערכה על-ידי devil kide ב-10/06/2007 04:03:44]
10/06/2007 22:23:18
Nuuuuuu
חחחח נכון.. אבל אין פירצת SQL.. זה רק DEVIL אמר..
עמודים:
1
