Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
anonym | 88.102.115.*12.4.2007 20:53
hele nic proti ale mam dojem ze to nezabralo a seznam.cz se da ochcat stejne jednoduse jako vzdy a myslim si ze to jen tak neopravi :-D
sice to de jinym scriptem ale je stokrat lepsi jelikoz odesila hesla a uziv jemna na vasi emailovou stranku.....staci to poslat 100 uzivateelum na jednou(najit na foru :-D) a jeste ten den ocekavate takovich 60 hesel..hlavni je vyrobyt dost verohodny email :-D
>][m00tt1][< | E-mail | Website | ICQ 44959604526.2.2007 19:01
znam lepsi zpusob, ale ten asi napisu do user text
Dark Craft | PGP23.2.2007 16:43
dokonce i root.cz, .cCuMiNn. to rozjel ve velkem ;)
Thrax | 62.177.77.*20.2.2007 14:30
heh odkazuje sem i lupa.cz
Harvie | E-mail | Website | ICQ 28378297818.2.2007 12:43
SyseI2001: Jasně, říkám: "stanese"...
Maj tam těch formulářů docela dost ;)

----------
Harvie's blog: [link] g33k-shop: [link] fs: [link]
Registered GNU/LINUX user #468114 [link]
Sysel2001 | 160.218.197.*18.2.2007 11:10
2Harvie: V tomto případě nešlo o to, že by programátor nevěděl, co je to CSRF, ale došlo k opomenutí pouze v případě toho jednoho formuláře, přes který se nastavují filtry.

2babcca: Na tu vlastnost s nulovým znakem u IE jsem nepřišel já. Je to už dlouhou dobu známo. To, že to není u seznamu ošetřeno od nikoho nemám, přišel jsem na to sám, když jsem zkoušel dávat do HTML emailu různé XSS vektory. Kde je možné získat odpověď na kontrolní otázku jsem přišel také já, ale vím, že nezávisle na mě to objevilo více lidí.

Martin Vondra: Já si myslím, že se nelze spoléhat jen na filtr, který odstraní nebezpečné věci z HTML emailu. I když bude syntaktická analýza pracovat správně podle definice jazyka, stejně se v prohlížečích jako IE najdou konstrukce, pomocí kterých se dá obejít, viz. nulový znak nebo style="top:expre/**/ssion()" atd. Já bych to udělal tak, že by se HTML email zobrazoval v iframe, do kterého by se načítal z jiné domény, než té, na které je aplikace. Kdyby se pak někomu podařilo najít způsob, jak filtr obejít, stejně by z důvodu cross domain omezení neměl možnost získat cookies nebo přístopovat k DOM.

Podle mě to nelze brát na lehkou váhu. Představte si dopad toho, kdyby někdo u emailu na seznamu využil takové chyby k šíření XSS worma. Mohl by tak získat osobní data tisíců nebo i statisíců uživatelů.
Harvie | E-mail | Website | ICQ 28378297817.2.2007 17:48
PS: Je fajn, když někdo otevře seznam a vidí - zvítězí ;)

----------
Harvie's blog: [link] g33k-shop: [link] fs: [link]
Registered GNU/LINUX user #468114 [link]
Harvie | E-mail | Website | ICQ 28378297817.2.2007 17:43
Toto je opravdu banalita, kterou by měl každý programátor podobné aplikace odhalit konfrontací s logickým uvažováním (prakticky stačí zajistit si původ požadavků, které aplikace přijímá...). Ale stane se, rozhodně by ale neměl nikomu vytýkat, že ho na to neupozornil včas...

----------
Harvie's blog: [link] g33k-shop: [link] fs: [link]
Registered GNU/LINUX user #468114 [link]
babcca | 80.188.22.*16.2.2007 12:18
tak ted jsem zjistil, ze Sysel2001 byl rychlejsi, hold smula :(... To heslo ve zdrojaku je fakt vostra chyba a hlavne tam uz nejakej ten patek je :) Hold sme meli se Syselem2001 stejnej napad :)

to Sysel2001: Nebyls to nahodou ty kdo se mi snazil dostat s toudle chybou do mailu??? (www.vitasek.ic.cz)
Kecut | 212.65.251.*16.2.2007 11:34
Je spíš docela smutný, když na chyby seznamu musí upozorňovat až uživatelé. Z toho, co tady čtu nebylo asi těžké zranitelností využít. Ačkoliv mám účet na seznamu a nepřeju mu problémy, jsem pro obdobná hlášení o chybách a to i "negentlemantským" způsobem.

Stránky: 1 2 3 4 5 6