 |
|
06.01.2013, 11:51
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
С нами:
8417113
Репутация:
0
|
|
Ещё одна тема по сбору информации, в ней предлагаю обсудить информацию о незаметном вторжении, поиске уязвимостей и т.п.
1. Пред проверкой GET-параметра на уязвимость, следует проверить возможность его использования в POST или COOKIES, и если такая возможность существует, GET параметр не убирать, а к примеру маскироваться под парсер. При эксплуатации уязвимости желательно проверить отсутствие админа на сайте встроенными средствами.
2. XSS:
[QUOTE="None"]
Плохо:
alert('xss');
Хорошо:
В 1-ой теме: Всем привет :"->
В 2-ой теме: В 5-ом пункте ссылка битая :'-alert('xss');
Хорошо:
В 1-ой теме: Всем привет :"->
В 2-ой теме: В 5-ом пункте ссылка битая :'-
|
|
|
07.01.2013, 18:05
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
С нами:
8417113
Репутация:
0
|
|
Плагины FireFox, которые будут интересны всем:
Сообщение от None
Charles XPI
Cookie Whitelist - Включение куков только на нужных нам сайтах
DownloadHelper
Firebug
NoScript
User Agent Switcher
Web Developer
Единственное, чего мне нехватает - выборочное отключение запросов с одного домена на другие сторонние(CSRF GET), для этого дополнения вроде пока нет. |
|
|
|
18.05.2013, 07:35
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
С нами:
8417113
Репутация:
0
|
|
Спущено.
|
|
|
|
04.08.2014, 08:46
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
С нами:
9000386
Репутация:
1148
|
|
Кто позволил себе удалить последний пост к этой теме?
Еще раз говорю, эти методы бредовые.
Сообщение от None
Перед проверкой GET-параметра на уязвимость, следует проверить возможность его использования в POST или COOKIES, и если такая возможность существует, GET параметр не убирать, а к примеру маскироваться под парсер
Ага, и спалим саму переменную в уязвимом скрипте(хоть и в гете не эксплуатировалась и никогда не использовалась!) =/
[QUOTE="None"]
Плохо:
alert('xss');
Хорошо:
В 1-ой теме: Всем привет :"->
В 2-ой теме: В 5-ом пункте ссылка битая :'-alert('xss');
Хорошо:
В 1-ой теме: Всем привет :"->
В 2-ой теме: В 5-ом пункте ссылка битая :'- |
|
|
|
04.08.2014, 08:54
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
С нами:
9000386
Репутация:
1148
|
|
Сообщение от XAMEHA
Charles XPI
Cookie Whitelist - Включение куков только на нужных нам сайтах
DownloadHelper
Firebug
NoScript
User Agent Switcher
Web Developer
Как эти платины относятся к данной теме, причем они тут?
|
|
|
|
04.08.2014, 09:59
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.09.2008
Сообщений: 127
С нами:
9285506
Репутация:
1463
|
|
Вообще, да - методы спорные.
Не стал писать, пока тема висела в группах, но спущенная в паблик означает, что группа согласна с этим и делится информацией со всеми. Поэтому прокомментирую.
1 Согласен с первой частью, вторую оспаривать не буду, но и применять тоже не буду.
2 Наверное да.
3 Ничем не лучше, ловится и по сигнатурам и зрительно одинаково подозрительны. Будут смотреть логи, обязательно проверят оба.
4 См. пункт 3.
5 Наверное да, не факт.
6 Хороший совет, на 100% не спасет, даже на 50, но от ленивого админа очень даже может (конечно, если не анализируют взлом, а просто дежурный просмотр логов).
|
|
|
|
04.08.2014, 12:24
|
|
Новичок
Регистрация: 04.11.2004
Сообщений: 5
С нами:
11322426
Репутация:
0
|
|
Сообщение от nikp
2 Наверное да.
А вот и нет.
'Всем привет :"->' - это здесь совсем не нужно. Закрытие тега и двойная кавычка для XSS не требуется. Пример (в конце пробел):
[PHP]
[COLOR="#000000"][COLOR="#007700"]", поэтому даже если ":'-". Независимо от наличия XSS, этот текст подозрений не вызовет.
Не менее часто разработчики допускают серьезную ошибку, не зацикливая "", вследствие чего "script>alert(xss)" после фильтра превращается в "alert(xss)" и код выполняется.
Мой вариант:
Текст 1: "пошли вы все на" - если прошло, больше проверок не нужно (XSS есть). если не прошло, используем текст 2.
Текст 2: "В 5-ом пункте ссылка битая :-o>любой текст" - в любом случае на странице отобразится только "любой текст", независимо от наличия XSS, и никто ничего не заметит.
|
|
|
|
04.08.2014, 12:46
|
|
Новичок
Регистрация: 04.11.2004
Сообщений: 5
С нами:
11322426
Репутация:
0
|
|
Немного оффтопа, может кому-то будет интересно.
Объясню, почему закрытие тега при XSS не обязательно. К примеру, код:
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][COLOR="#0000BB"]текст[/COLOR][COLOR="#007700"][/COLOR][/COLOR]
после предварительной обработки браузером будет выглядеть так:
PHP код:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]
[/COLOR][COLOR="#0000BB"]текст[/COLOR][COLOR="#007700"]
[/COLOR][/COLOR]
"" для браузера - это пустой атрибут "", закрывающая тег "a". Так как тег "" после таких преобразований остался открытым, браузер исправляет эту "ошибку программиста" и закрывает самостоятельно, добавляя "" |
|
|
|
04.08.2014, 16:30
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
С нами:
8417113
Репутация:
0
|
|
M_Script,спасибо за пример.
Конечно не следует воспринимаемость буквально и ВСЕГДА делать именно так.
3. Пункт может быть полезен тогда, когда ведутся логи SQL-запросов (например на уровне приложения).
2. Смешно, кода выкладывают XSS-ки с alert('xss');. Если сайтом занимаются - уязвимость через пару дней исчезает обязательно.
|
|
|
|
04.08.2014, 17:04
|
|
Reservists Of Antichat - Level 6
Регистрация: 05.04.2009
Сообщений: 231
С нами:
9000386
Репутация:
1148
|
|
Сообщение от XAMEHA
M_Script,
спасибо за пример.
Конечно не следует воспринимаемость буквально и ВСЕГДА делать именно так.
3. Пункт может быть полезен тогда, когда ведутся логи SQL-запросов.
2. Смешно, кода выкладывают XSS-ки с
alert('xss');
. Если сайтом занимаются - уязвимость через пару дней исчезает обязательно.
Опять к 3. У Вас какие-то неверные подходы/методы(хз как сказать!). Хитрый запрос в лог файле прокатит если админ тупой. Сама проблема тут остаётся. Тут лучше копать в другую сторону. =/
Пример:
Атакующий может обойти логирование запросов к базе данных.
Код:
mysql_query('/*'.chr(0).'*/ SELECT * FROM table');
[B]MySQL
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
