Sysel2001 | 160.218.197.* | 18.2.2007 11:10 |
| 2Harvie: V tomto případě nešlo o to, že by programátor nevěděl, co je to CSRF, ale došlo k opomenutí pouze v případě toho jednoho formuláře, přes který se nastavují filtry.
2babcca: Na tu vlastnost s nulovým znakem u IE jsem nepřišel já. Je to už dlouhou dobu známo. To, že to není u seznamu ošetřeno od nikoho nemám, přišel jsem na to sám, když jsem zkoušel dávat do HTML emailu různé XSS vektory. Kde je možné získat odpověď na kontrolní otázku jsem přišel také já, ale vím, že nezávisle na mě to objevilo více lidí.
Martin Vondra: Já si myslím, že se nelze spoléhat jen na filtr, který odstraní nebezpečné věci z HTML emailu. I když bude syntaktická analýza pracovat správně podle definice jazyka, stejně se v prohlížečích jako IE najdou konstrukce, pomocí kterých se dá obejít, viz. nulový znak nebo style="top:expre/**/ssion()" atd. Já bych to udělal tak, že by se HTML email zobrazoval v iframe, do kterého by se načítal z jiné domény, než té, na které je aplikace. Kdyby se pak někomu podařilo najít způsob, jak filtr obejít, stejně by z důvodu cross domain omezení neměl možnost získat cookies nebo přístopovat k DOM.
Podle mě to nelze brát na lehkou váhu. Představte si dopad toho, kdyby někdo u emailu na seznamu využil takové chyby k šíření XSS worma. Mohl by tak získat osobní data tisíců nebo i statisíců uživatelů.
|
|