Interval.cz XSS

HackForum

Interval.cz XSS#
[link]'text/javascript'%3Edocument.title=%22Inter
val.cz%20is%20for%20idiots%22;document.body
.innerHTML=%22%3Ch1%3EInterval.cz%20sux%3C/
h1%3E%3Cp%3EYou%20fucking%20dumb%20retards,
%20stop%20using%20echo%20in%20PHP%20and%20h
ire%20a%20programmer%20instead%20of%20your%
20illiterate%20code%20monkey%20you%20fuckta
rds%20!%3Cbr%20/%3E%22;%3C/script%3Etest%3C
!--
(odpovědět)
Interval.cz XSS | 85.25.151.*9.7.2008 16:51
re: Interval.cz XSS#
[link]
(odpovědět)
Interval.cz XSS | 85.25.151.*9.7.2008 16:53
re: Interval.cz XSS#
Tý brďo, ty jsi hotovej hekr :D Vzdyt jsi jen pomoci JS upravil tagy ...hmmmmmm
(odpovědět)
_( | )_ | 85.132.197.*9.7.2008 18:59
re: Interval.cz XSS#
Po technicke strance receno, jsem injektoval ECMAscript snippet do stranky zobrazene pri navraceni hodnoty 404 protokolu HTTP.

Na vystupu se neescapuji promenne z pole $_SERVER, coz je jedna z *nejcastejsich* chyb, ktere se dopousteji amateri.

Modifikaci URI v address baru lze do $_SERVER['REQUEST_URI'] pripsat (X)HTML tagy a tim take injektovat svuj kod do vysledne stranky, kterou lze puvodni obsah zcela nahradit.

PRO INTERVAL.CZ, ANEB. SERVER TVARICI SE JAKO PROFESIONALNI, JE TATO CHYBA VELIKOU OSTUDOU.

Chybe lze zamezit mj. s nejnovejsi verzi extensionu Suhosin, ten umi nove automaticky escapovat asociativni pole $_SERVER[].

Technickou stranku mam jak vidis zvladnutou, a tve narazky jsou zcestne, dej se do kupy a oprav radeji regularni vyraz pro parsovani hyperlinku v komentarich, pripis mu do pole znaku v matchi alespon apostrof.
(odpovědět)
Interval.cz XSS | 85.25.151.*9.7.2008 20:10
re: Interval.cz XSS#
Interval.cz XSS:
Technickou stranku mam jak vidis zvladnutou, a tve narazky jsou zcestne, dej se do kupy a oprav radeji regularni vyraz pro parsovani hyperlinku v komentarich, pripis mu do pole znaku v matchi alespon apostrof.

Tyvole, neni jednoduche tuhle vetu pochopit,
nebylo by lepsi tohle napsat adminovi a neobtezovat tim _(|)_ ktery z toho ma jen prdel :) ?
(odpovědět)
deu439 | E-mail10.7.2008 17:03
re: Interval.cz XSS#
znak apostrofu do URL nepatri, proto ho system nespolkl, akceptoval by ho v pripade, ze by toto vlakno bylo zalozeno spravne v BugTracku, kde se s podobnymi znaky pocita, jinde nemaji co delat.
(odpovědět)
Emkei | E-mail | Website | PGP10.7.2008 20:29
re: Interval.cz XSS#
znak apostrofu do URL nepatri, proto...

Do URL apostrof patri a navic smi byt uzivan bez encodovani:

Thus, only alphanumerics, the special characters "$-_.+!*'(),", and reserved characters used for their reserved purposes may be used unencoded within a URL.

System porusuje RFC1738, mel bys na to dohlednout a opravit pouzity REGEXP. Substituce URL za hyperlinky se musi ridit timto [link]


(odpovědět)
Interval.cz XSS | 192.251.226.*11.7.2008 12:13
re: Interval.cz XSS#
Nesnaž se... Nedokázal si ani zvolit spravnou sekci pro založeni threadu. Už podle toho si na tebe myslim hodně lidi udělá svůj názor ;-)

----------
Punk will never be dead to me. It's my life. I can never just drop this lifestyle. It embodies me.
(odpovědět)
|>011'/ | E-mail11.7.2008 12:24
re: Interval.cz XSS#
Emkei: RFC umoznuje uziti apostrofu v URL - velice zkresleny nazor, RFC narizuje, ze clenem mnoziny platnych znaku URL je take apostrof.

RFC stanovila jasna pravidla, ktera vsechny URL, a kazdy software s nimi manipulujici, musi dodrzovat, abychom zachovali kompatibilitu a nedochazelo k chybam, jako je tato.

Prasarnouje znasilnovani RFC, z nej vyplyvajici zpusobovani problemu ostatnim a naprosta ignorace ze strany vyvojare.

Porusovani standardu + ignorace je silnym projevem neci hlouposti.

|>011'/ Sekci WebForum jsem zvolil zamerne a nazor na tebe uz mam.
(odpovědět)
Interval.cz XSS | 18.238.0.*11.7.2008 14:41
re: Interval.cz XSS#
V tom připadě si to dovršil. U mě jsi za idiota a už jen velmi težko svuj nazor zmenim.

----------
Punk will never be dead to me. It's my life. I can never just drop this lifestyle. It embodies me.
(odpovědět)
|>011'/ | E-mail11.7.2008 14:49
re: Interval.cz XSS#
RFC doporucuje, nikoliv narizuje (presvedcit se o tom muzes napr. na wiki [link]), proto naopak vyrazy jako "muset", "narizeni", "porusovani standardu" ci "znasilnovani RFC" jsou zkreslene a naprosto prehnane.
(odpovědět)
Emkei | E-mail | Website | PGP11.7.2008 15:25
re: Interval.cz XSS#
Emkei: dekuji za odkaz, bohuzel musim podotknout, ze uroven vysvetleni vyznamu RFC na ceske wiki je opravdu tristni, stejne jako uroven nekterych nevzdelanych krupanu zde na soomu, vid |>011'/.

Most RFCs use a common set of terms such as "MUST" and "NOT RECOMMENDED"

Preklad:
Vetsina RFC uziva beznou sadu terminu, jako je "MUSET" a "NEDOPORUCENO"

Terminy jako je "MUSET" jsou standardizovany v RFC2119 [link]

Co je RFC nam standardizuje RFC2026 [link] a stejne tak proc se musi dodrzovat, ono kdyz dojde na lamani chleba, lze spolehlive rozeznat amaterskou slepeninu od kvalitniho software.


(odpovědět)
Interval.cz XSS | 18.238.0.*11.7.2008 17:38
re: Interval.cz XSS#
Ja sem nevzdelany křupan? :-D Ty jsi se nezmohl na nic jineho než kopirovani obsahu cizich stranek :-)

IMHO je mnoho oblasti ve kterých jsem daleko vzdělanější než ty ;-)

----------
Punk will never be dead to me. It's my life. I can never just drop this lifestyle. It embodies me.
(odpovědět)
|>011'/ | E-mail11.7.2008 17:57
re: Interval.cz XSS#
RFC a standard neni jedno a to same, pouze nektere z RFC jsou povazovany za standard, ostatni slouzi jako doporuceni. ver mi, ze i kvalitni software (obzvlast ten moderni) porusuje standardy a mnoha RFC doporuceni, nebot jsou tyto dokumenty znacne zastarale. jak jsem jiz jednou naznacil, i e-mailova adresa by podle RFC mohla vypadat takto e+m'k~e!i@soom.cz, presto se developeri rozhodli navzdory RFC nealfanumericke znaky v podstate vynechat. podobne je to i u URL, kde se postupne prechazi ke coolURL a specialni znaky vcetne apostrofu, ktere vyhledavacim botum "nechutnaji" (s cimz 14 let stare RFC nepocitalo) se v modernich aplikacich takrka nevyskytuji.
(odpovědět)
Emkei | E-mail | Website | PGP11.7.2008 19:36
re: Interval.cz XSS#
Ackoliv nesouhlasim s tim, ze cool URL nahrazuji kezna URL bych bych pouze rad doplnil odkaz na seznam jmenem "Official Internet Protocol Standards", aby bylo jasne, ze mame iETF a oficialni standardy, ne jen doporuceni. Tento [link] obsahuje RFC, drzici Internet pohromade.

Jak se muzete presvedcit, opravdu jich neni malo, ale i presto je vhodne alespon trochu nahlednout do nekterych z nich (dle vlastniho uvazeni) a seznamit se dopodrobna se spravnou implementaci.
(odpovědět)
Interval.cz XSS | 203.171.236.*11.7.2008 20:41
re: Interval.cz XSS#
ano, uvedeny dokument uvadi prave ony RFC, ktere byly uznany za standard, RFC 1738 o vzhledu URL se tam ale dodnes nenachazi a jedna se tudiz pouze o doporuceni.
(odpovědět)
Emkei | E-mail | Website | PGP11.7.2008 21:11
re: Interval.cz XSS#
thx za info, ale rozsirovat regexp i presto nebudu. i kdyz RFC umoznuje pouziti apostrofu v URL, je to IMHO prasarna, ktera tam nepatri. ze stejneho duvodu se podobne znaky nepouzivaji ani v e-mailovych adresach, i kdyz to RFC take povoluje...
(odpovědět)
Emkei | E-mail | Website | PGP11.7.2008 13:42
re: Interval.cz XSS#
Sakris, ty jsi samej odbornej vyraz. Jsi pro me Pan Hacker =)
(odpovědět)
_( | )_ | 85.132.197.*9.7.2008 20:58
re: Interval.cz XSS#
slušní lidé používají externí scripty :P

----------
Get enlightened!
(odpovědět)
mr.Crow | E-mail | Website9.7.2008 21:30
re: Interval.cz XSS#
mr.Crow: To je ted myslim jedno. Jeho super anglictina a ego je ted na vrcholu kariery. Ted se bude chlubit a ohanet tim, jaky je to king.... tento typ lidi znam :) Pritom to neni nic neobvykleho a jen idiot by na to skocil (at to vypada jak chce)...
(odpovědět)
_( | )_ | 85.132.197.*9.7.2008 21:47
re: Interval.cz XSS#
_( | )_: Není to už u tebe nějaká diagnoza? Vůbec nechápu proč se svým megaegem vůbec v těch diskuzích reaguješ :o že ti to stojí za to, když jsi takový borec :D .... 99% tvých příspěvků je jen pohrdání ostatními. (...já vím, protože "ty na to máš"), že bys někdy napsal něco konstuktivníh? Já jsem jen takový soom pozorovatel, ale nad tímto mi zůstává rozum stát a už si jen říkám co tomu říka psychiatr...
(odpovědět)
misak | 85.207.205.*10.7.2008 0:52
re: Interval.cz XSS#
Každopadně cely tohle vlakno patři do bugtracku :-D

----------
Punk will never be dead to me. It's my life. I can never just drop this lifestyle. It embodies me.
(odpovědět)
|>011'/ | E-mail10.7.2008 1:12
re: Interval.cz XSS#
misak: Ehm, 99% obsahu = sračka. Co na tom chceš stavět konstruktivního?
(odpovědět)
_( | )_ | 90.176.138.*10.7.2008 16:22
re: Interval.cz XSS#
misak: A diagnoza? Vždycky musím napsat double post xD. Už jsem to tu psal 1000x. Mám tady z toho prdel ( | ), srandu, recesi, komedii, atd...
(odpovědět)
_( | )_ | 90.176.138.*10.7.2008 16:24
re: Interval.cz XSS#
To máš pravdu, s těmi procenty, mně to snad ani kolikrát nepřijde jako ( | ) , ale myslela jsem, že třeba můžeš reagovat v tom smyslu, že "máš to na hovno, já bych to udělal tak a tak" a nebo se na to vybodnout. jenom nadávat umí každý, i když o tvých znalostech nepochybuji. Nejsem psychiatr :D ale co zkusit narcismus :) "Narcista nemá jinou možnost nežli hovořit o sobě, o své práci, svých výkonech a výsledcích, často se trápí tím, že nejsou dost dokonalé."...se nezlob, ale občas to tak vypadá :) ...jsme ale trochu odbočili od tématu :))) už mlčím
(odpovědět)
misak | 85.207.205.*10.7.2008 21:14
re: Interval.cz XSS#
Já mám raději aroganci ;) Nemá cenu psát články o něčem, co stejně nikdo nepochopí. A velmi nerad se dělím o své pracně získané informace.
(odpovědět)
_( | )_ | 85.132.197.*10.7.2008 21:29
re: Interval.cz XSS#
Myslim ze by se tu naslo par lidi kteri by ocenili tvoje clanky.
A o sve pracne ziskane informace by ses podelit mohl ve vlastnim zajmu i v zajmu dalsich generaci. Pokud nebude dost lidi kteri budou vzdelavat nemuzes cekat ze bude dost vzdelanych lidi.

(odpovědět)
deu439 | E-mail11.7.2008 1:10
re: Interval.cz XSS#
1) problem: O cem psat?
2) naprogramovat trojana, ci podobnou aplikaci zvladne kazdy, kdo se o tohle trosicku zajima
3) C++ tu asi neumí nikdo na pouzitelne urovni.
4) Klidně bych rozjel i nějaký projekt, ale se sestavou soomu to asi tezko pujde
5) Momentalne studuju konfiguraci Apache a tak (Emkei me inspiroval =))
6) Pro rejpaly: XSS ani SQL injekce me nezajimaji :P
(odpovědět)
_( | )_ | 90.176.138.*11.7.2008 8:34
re: Interval.cz XSS#
to jsem rad =) kdyz napises nejaky clanek, poslu ti par tipu do zacatku, co se (ne)bezpecne konfigurace serveru tyce...
(odpovědět)
Emkei | E-mail | Website | PGP11.7.2008 11:46
re: Interval.cz XSS#
ad 3) - byt tebou bych si zas tak nefandil
(odpovědět)
juj | 90.176.175.*11.7.2008 22:36

Zpět
 
 
 

 
BBCode