Тема: Аудит.
Показать сообщение отдельно
Старый 30.03.2013, 18:24   #5
bulat
 
Регистрация: 29.03.2013
Сообщений: 7
Репутация: 0
Thumbs up

Большое спасибо!

Насчет XSS в UserAgent в логах - не углядел, спасибо. Поправлю. (на выходе, кстати, оно помоему эскейпится/режется правильно? Не удалось пробить в /admin/loglist ? Там UA из логов показывается. )

XSS в logdata это такая багофича - нам надо логировать пользовательский ввод полностью - как есть. Он потом при выводе логов эскейпится. Есть предложения как это сделать безопаснее? Например, насколько оправданно хранить обе версии для разных нужд: для показа - заэскейпленное, а для анализа и обработки - оригинал?

FullPathDisclosure при обработке ошибок - да, лень матушка. Бум поправлять.

А вот по XSS в обработке ошибок - не хранимый XSS получается, так? Или получилось его хранимым зафигачить?

По XSS в имени файла картинки и по ее содержимому - спасибо, работаем.

Через ID-шники пользователей, курсов, уроков, COOKIE и т.п. нигде не удалось пробить?

По админке - этот кусок мы просто отключим - он на этом сайте как таковой не требуется. Сейчас он там только для отладки, ну, и чтобы вы могли проверить и сам админский кусок на дыры. Тока ссылку на него забыл дать. Кстати, а обнаружили его подбором, или все-таки где-то светится ссылка? (на dev2codemy отладочная информация показывается. в ней нашли?)
Спасибо за напоминание по админке!

Цитата:
Сообщение от BlackFan Посмотреть сообщение
Хранимая xss через UA
...

Да и через logdata
...

Ну и во всех остальных местах однотипно...
Например, через путь к файлу аватара
http://dev2acodemy.sellfiles.ru/services/user/40/
Чего-то туплю и не могу сообразить каково типа и в каких еще местах? Дай еще пару примеров, pls.

P.S. Будет ли правильным в этой теме дальше обсудить затыкание этих дыр? (как для меня, так и для потомков ) Я, по мере возможностей, могу выложить, то как эти дыры проникли в систему. И то, как мы их заткнули. Дальше, бы с удовольствием обсудил правильность затыкания. (и заткнул повторно )

Последний раз редактировалось bulat; 30.03.2013 в 18:29..
bulat вне форума