Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Amit a XSS-ről tudni akartál, de soha nem merted megkérdezni

2007.11.28. 16:09 | buherator | 3 komment

 
A Full-Disclosure listán bontakozott ki még novemberben a vita, amelynek tárgya a XSS hibák listán való publikálása volt. A reedex nevű felhasználó igen markánsan és provokatívan utasította el az ilyen jellegű felfedezések létjogosultságát, de egyúttal vitára is invitálta Petko Petkovot, valamint mindenki mást is. Az alábbiakban pdp válaszlevelét olvashatjátok, amelyekben reedex kérdéseire/állításaira reagál. Ennek az egy levélnek a bevágása elég egyoldalúan mutatja be kérdést, de úgy gondolom, hogy ez a kis értekezés jó áttekintést nyújt a témával kapcsolatban, és talán felhívja az illetékesek figyelmét itthon is a XSS támadások megelőzésének fontosságára. Aki többre vágyik, az nyomon követheti a szálat itt, és természetesen a kommentek között is várom a másként gondolkodók reakcióit.
Köszönöm reeplexnek, hogy elindította ezt a vitát. Igazán nagyszű lenne, ha több embert is sikerülne bevonnunk a témába. Úgy tűnik rengeteg a tévhit a XSS-gel kapcsolatban. Remélem meg tudjuk válaszolni a kérdéseiteket egyszer és mindenkorra.

> 1) A XSS nem [biztonságtechnikai] szakmába vágó,akárhogy is használják

Az XSS annyira vág  a szakmába amennyire. Lehet nagyon is szakmbelii téma, de lehet hogy egyáltalán nem az. XSS alatt sok féle módszert értünk, mint ahogy pl. a bináris szoftverek buffer túlcsordulásos támadásainak esetében is. Metakarakterek beszúrása egy weboldalba még nem jelent semmit...úgyanúgy, ahogy akarakterek beszúrása egy bufferbe sem jelent semmit. Az az érdekes, hogy hogyan használod ki a lehetőségeidet. Tartsd észben, hogy XSS esetében a buffer overflow-khoz nagyon hasonló körülményekkel kell számolnunk: megkötéseink vannak a használható karakterekre és a méretükre. Úgyanígy, a buffer overflow-k és a hozzájuk köthető támadásokhoz hasonlóan itt is nagyon odakell figyelnünk a végrehajtás menetét és azt, hogy minél inkább észrevétlenek maradjunk.

> 2) Azok akik XSS-et használnak pentestek/valódi hackek/akármi más során (kivéve phishing) lámák, mivel nem tudnak valódi (nem webes) exploitokat írni, vagy nem tudnak rendes webes hibákat találni (SQL injection, parancsfuttatás, file include, akármi)

Más időket élünk. A Web az egyetlen dolog amire szükségünk van, és a böngésző az alapvető platform. A XSS az egyetlen valódi lehetőség arra, hogy megbízhatatlan kódot futtassunk egy megbízható tartományon anélkül, hogy a böngésző sebezhetőségére kellene támaszkodnunk. SQL injection és file beszúrásos támadásokkal én is naponta találkozom, de ezekkel kapcsolatban a támadási felület jelentősen behatárolt a modern alkalmazások által használt keretrendszerek miatt. Egyébként miért lenne szükséged SQL injectionre, ha a szükséges lépéseket a felhasználókkal is elvégeztetheted XSS segítségével? Ez biztonságosabb és nehezebb észrevenni. Ha meg akarsz változtatni néhány adatot, vagy ki akarsz nyerni valamilyen adatot, a XSS teljesen elfogadható támadás.

Azoknak az embereknek, akiket XSS-et hasznánli láttam jelentős múltjuk van a tradicionális támadási módszerek terén is. Persze kevesen vannak ilyenek, mivel a téma még nem érwett meg eléggé. Nem akarok neveket említeni, mert az udvariatlanság lenne, de szívesen venném ha becsatlakoznátok a beszélgetésbe.

3) A XSS-nek nincs helye ezen a listán, mint ahogy más biztonságtechnikai listán sincs, úgy emlékszem, hogy volt olyan ötlet is, amely szerint csinálni kéne egy külön bugtraqt a XSS-nek. Ezt még mindig jó ötletnek tartanám.

A FD egy általános biztonságtechnikai lista. A XSS egy biztonságtechnikai "tudományág" [diszciplína]. Emiatt a XSS-nek is helye kell hogy legyen a FD-ön, mint a többi más bizttonságtechnikai témának is. Persze, ha valaki komolyan akar foglalkozni a XSS-gel, egy csomó más helyen is tájékozódhat. Mi több, úgy érzem, hogy a FD-re történő írás értelmetlen. A lista ellenőrizhetetlen, és sokakkal együtt én is úgy gondolom, hogy nem éri meg a fáradtságot avele való törődés. Ha tanulni akarsz valamit, olvass blogokat [bezony ;)]!

> 4) Ha egy audit végén csak XSS-t tudsz felmutatni, akkor elbuktál, és a megrendelőnek visszatérítéssel tartozol.

Nem igaz. Ha nem tudnád, a XSS top-prioritás manapság. Ott van szinte minden webalkalmazásban. Nem tudom, hogy kinek dolgozol, vagy hogy csináltál-e már auditot, de el kell mondanom valamit: az embereket érinti a XSS, és félnek is tőle. Azt kell mondanom, hogy bár tátongó lyukakat kell betömnünk az emberek ismeretanyagában, de napról napra jobb a helyzet. Ma a cégeket a Web2.0 érdekli. Érdekli őket, hogy milyen hatással van ez az új technlógia a szervezetükre. Sok dolog van ami miatt aggódnak is. És ezek közül az egyik a XSS.

Régebben a XSS-eket alacsony vagy néha közepes veszélyességűnek minősítettem. Ma már, ha nem autentikáltak, magasra értékelem őket. Miért? Nyisd ki a szemed! A XSS nem csak arról szól, hogy kódot futtatsz az áldozat gépén. Sok dolgot megtehetsz. Tudtad, hogy ha a CNN oldala sebezhető lenne, én meg beszúrnék rá pár Google-s addot, majd elterjeszteném a megfelelő linket néhány közösségi bookmark oldalon egy halom pénzt kereshetnék? Gondlj bele!

a) A CNN oldala nagyon fontos
b) Az klikkek többe kerülnek
c) A közösségi könyvjelzőzés egy életforma (lásd DIGG)
d)  A közösségi könyvjelzők spammelhetők (nézz utána az OnlyWire-nek)
[Töredelmesen bevallom, hogy jelenleg nem igazán értem hogy mire megy itt ki a játék, ha valakinek van ötelete, ne habozzon megosztani!]
Mindened megvan egy sikeres támadáshoz. Mi a helyzet a cikkek hamisításával? Vagy ott van a Black PR, vagy a Black SEO. Csak a képzeleted szabhat határt. Sajnos néhányak nincs elég fantáziájuk, úgyhogy utat kell nekik mutatni.
A XSS több lehetőséget rejt, mint bármilyen másik ma létező támadási forma. Ez a Web méretéből adódik. Ha elkezded összerakni a dolgot, megérted miről beszélek. Ti, akik a XSS-et egy kalap szarnak gondoljátok, egyszerűen lekésitek a vonatot és ezzel a csáds utazást is. Sok szerencsét!

> 5) XSS-ek publikálásával csak a saját gyengeségedet mutatod meg, és azt, hogy nem vagy képes rendes bugokat találni

A XSS-ek publikálása ugyanolyan hülyén veszi ki magát mint a DoS-eké, mivel nem fektettél elég energiát energiát abba, hogy megtudd, hogyanis lehet a felfedezésed ténylegesen kihasználni. Ezen kívűl XSS publikálása nem is etikus, hanem helytelen és abba kellene hagyni. vagy legalábbis hencegni vele nem kéne. Ugyanakkor csak az, hogy találsz egy XSS lehetőséget, nem jelenti azt, hogy hülye vagy. Vannak nagyon ügyes XSS támadások, amelyeket okos emberek találtak ki. Mégegyszer, nem szeretném őket bevonni ebbe a beszélgetésbe akaratuk ellenére, személyesen fogom őket megkeresni azzal kapcsolatban, hogy meg akarnak-e jelenni itt.

reepex, sajnálom, de minden állításod alaptalan. Többet vártam tőled, főleg az után, hogy néhány privát e-mailt is váltottunk. néha úgy érzem, hogy tudod miről beszélsz. Valóban tudsz valamennyit, de most komolyan...állj elő valami szaftossal...

üdv,
pdp


Címkék: xss

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

EQ · http://rycon.hu/ 2007.11.29. 00:42:52

XSS tényleg a támadások egyik legkönyebbje, viszont egy remote execution általában még könnyebb :), de szebb is. Általában a bugok értékét az emberek a használhatósággal azonosítják.
Mind2 félt megértem, viszont az teljes elzárkózást már nem.
Web2.0 fogalmom nevetséges véleményem szerint de ez más téma, és a guglis dologról meg annyit, bár lehet ezt érted és másik részét nem, amit én sem igazán :)
gugli ads kattintásokért fizet, nem is keveset 1-2kulcsszóra, viszont elég jó szűrési rendszerük van. Ha átnézed a js-t ami nem kicsi munka akkor esetlegesen tudsz olyan app-ot írni, ami emulálja a kattintást, így js-ben is hasonlót, amit xss-ben felhasználva halomra keresheted magad vele.
Nem tudom ki emlékszik a szerencsejatek.hu -s parára :D Bár már akinek para volt ^^

buherator · http://buhera.blog.hu 2007.11.30. 10:28:57

Kösz, így már kezd tisztulni a kép. Valamiért állandóan az AdWordsre asszociáltam, aminél ugye éppen a hirdtő az aki fizet. AdSense-szel bűvészkedni tényleg jól jövedelmező lehet :)
szerencsejatek.hu-val mi volt? Úgy tűnik lemaradtam :)

B$H · http://http//www.mediaart.hu 2007.11.30. 11:15:48

Az adsense nagyon érzékeny mindenféle trükközésre, és inkább bannonlnak mint, hogy utánanézzenek a gyanús dolgoknak. Én is ezt tenném :). Amúgy elméletileg kijátszható a dolog egy megfelelően megirt, mondjuk torra épített alkalmazás segítségével, ami megnyitja az oldalt, átnavigál egy reklámra (vagy simán elhagyja az oldalt és proxy csere), ott időzik random 1-2 percet, kattintgat, és mondjuk értelmesen elhagyja az oldalt. Majd proxy csere, és mehet az egész elölről. Itt viszont az a feltűnő, ha hirtelen egy oldal látogatottsága egyik napról a másikra nagyságrendekkel növekszik, és persze nekem is szemet szúrna, ha mondjuk az átkattintási arány meghaladná a 40%-ot. Szóval. Nem megoldhatatlan, de a tiszta út valószínűleg hosszútávon kifizetődöbb. Amúgy azt, hogy a google ilyen szigorú elég könnyen a saját hasznára fordíthatja a támadó, pl. ha a konkurencia reklámjait dosolja. Ezt mondjuk szerencsére ki lehet küszöbölni az adsense megfelelő finomhangolásával.