Вернуться   RDot > RDot.org > Релизы/Releases

Закрытая тема
 
Опции темы Поиск в этой теме Опции просмотра
Старый 15.04.2011, 11:42   #1
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию Делаем Firefox сексуальным / Make Firefox sexy

UPDATE: Новая тема https://rdot.org/forum/showthread.php?t=2875

Делаем Firefox сексуальным.

Патч призван устранить кодирование одинарной кавычки в GET-запросах.

Начиная с версии 3.0 (коммит), Firefox стал урл-кодировать одинарную кавычку (') в %27. Данное поведение нередко может помешать обнаружить SQL инъекцию в веб-приложениях, например, при участии переменных $_SERVER["QUERY_STRING"] и $_SERVER["REQUEST_URI"] в SQL запросах в PHP-приложениях.
Разработчики упорно не признают это недостатком, хотя ни один другой популярный браузер этого не делает.


Патч универсален, патчит Firefox на всех платформах, независимо от локали. Возможна работа на производных от Firefox браузерах (Palemoon, SeaMonkey и т.д.) [требует подтверждения].
Работа патча протестирована на Firefox 3.6, 4.0 и 10.0.

Проверка успешности работы патча:
Цитата:
nc -l -p 7777
Firefox: http://localhost:7777/?quote='
Процесс обновления Firefox следует проводить только (!) с оригинальным xul.dll. После обновления потребуется применить патч снова [см. README.txt].

Пути по умолчанию:
Код:
C:\Program Files\Mozilla Firefox\xul.dll
/usr/lib/firefox-4.0/libxul.so или /usr/lib/xulrunner-2.0/libxul.so	[ubuntu]
/Applications/Firefox.app/Contents/MacOS/XUL
Поведение различных браузеров:
Код:
IE9:	 GET /index.php?id=q'w"e`r HTTP/1.1
Safari5: GET /index.php?id=q'w%22e`r HTTP/1.1
Opera11: GET /index.php?id=q'w%22e%60r HTTP/1.1
FF3.0a4: GET /index.php?id=q'w%22e%60r HTTP/1.1
FF3.0a6: GET /index.php?id=q%27w%22e%60r HTTP/1.1
-----------------------------------------------------------
Апдейт (Февраль 2012)

Начиная с версии 9 немного поменялась строка для поиска (из-за этого коммита), поэтому на Firefox 9, 10 и далее следует использовать 2-рую версию патчера.
Версия 1 по-прежнему применима к Firefox 3.0 – 8.0.


Также доступна версия патчера под Linux (убирает урл-кодирование всех 3 кавычек по желанию, автор n0body ) - make_ff-sexy_v2.tar.bz2.

-----------------------------------------------------------

SynQ, rdot.org

Последний раз редактировалось SynQ; 05.10.2013 в 12:57..
SynQ вне форума  
Старый 15.04.2011, 13:41   #2
id13
 
Регистрация: 04.12.2010
Сообщений: 22
Репутация: 1
По умолчанию

А линуховодам как быть?
id13 вне форума  
Старый 15.04.2011, 13:53   #3
Andrey1800
 
Регистрация: 31.08.2010
Сообщений: 196
Репутация: 154
По умолчанию

Цитата:
Сообщение от id13 Посмотреть сообщение
А линуховодам как быть?
написано же
Цитата:
Патч универсален, патчит Firefox на всех платформах, независимо от локали.
Arch Linux, Firefox 4
путь /usr/lib/xulrunner-2.0/libxul.so - проверено, работает

Последний раз редактировалось Andrey1800; 15.04.2011 в 13:58..
Andrey1800 вне форума  
Старый 15.04.2011, 14:05   #4
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

Цитата:
Сообщение от id13 Посмотреть сообщение
А линуховодам как быть?
Пока запускать патч под вайном или в винде (в виртуалке или попросить кого-нибудь). Нативный патч под линукс сделаю не раньше июня-июля.
SynQ вне форума  
Старый 15.04.2011, 19:39   #5
id13
 
Регистрация: 04.12.2010
Сообщений: 22
Репутация: 1
По умолчанию

полет нормальный)
id13 вне форума  
Старый 16.04.2011, 01:51   #6
Andrey1800
 
Регистрация: 31.08.2010
Сообщений: 196
Репутация: 154
По умолчанию

альфа версия патча под линь x86
не забудьте бэкапить libxul.so, в проге этого нет)
Код:
md5sum:
12080a98ad666de4b479069318434806  make_ff_sexy
c3a6023b8f3cd50d8f3af8dec4ebf5ad  make_ff_sexy.gz
Код:
[root@andrey1800 ~]# ./make_ff_sexy
Make FF Sexy!

USAGE: ./make_ff_sexy [version] /path/to/libxul.so
Versions:
1 - patch for single quote (')
2 - patch for double-quote (")
3 - patch for backquote (`)
4 - 1+2 versions
5 - 1+3 versions
6 - 2+3 versions
7 - 1+2+3 versions
Example: ./make_ff_sexy 7 /usr/lib/xulrunner-2.0/libxul.so
кстати, им можно патчить и виндовые dll, и маковые XUL, ибо методика такая же как у патчера из первого поста. пропатчил по приколу libxul.so от микроба из комплекта н900 - воркает))
Вложения
Тип файла: gz make_ff_sexy.gz (3.9 Кб, 1169 просмотров)

Последний раз редактировалось Andrey1800; 16.04.2011 в 05:11..
Andrey1800 вне форума  
Старый 16.04.2011, 20:46   #7
M@ZAX@KEP
 
Аватар для M@ZAX@KEP
 
Регистрация: 24.07.2010
Сообщений: 139
Репутация: 5
По умолчанию

Репорт:
Debian 6.0.1 x64, Firefox 4

Альфа версия патчера отработала дерзко и чётко. Кавычки встали на место. Автору респект =)
M@ZAX@KEP вне форума  
Старый 17.04.2011, 16:04   #8
lukmus
 
Аватар для lukmus
 
Регистрация: 11.08.2010
Сообщений: 132
Репутация: 20
По умолчанию

Fedora 13 x64, FF 3.6
Все ништяк, большое спасибо
__________________
Контактный XMPP: lukmus[собака]wallstreetjabber.biz
lukmus вне форума  
Старый 18.04.2011, 19:14   #9
M@ZAX@KEP
 
Аватар для M@ZAX@KEP
 
Регистрация: 24.07.2010
Сообщений: 139
Репутация: 5
По умолчанию

Цитата:
Если же скачать в лисе обновление на патченом xul.dll, выйти из лисы, заменить xul.dll на первоначальный, и запустить лису, то апдейт не пройдет.
Эм.. а типа просто на патченом не обновиться? Зачем после обновления заменять на первоначальный (оригинальный то есть, я так понял)?
M@ZAX@KEP вне форума  
Старый 28.04.2011, 14:09   #10
Hank
Banned
 
Регистрация: 28.07.2010
Сообщений: 8
Репутация: -15
По умолчанию

как в опире такое сделать, я не понел...
не удаляйти месаги маи..(
Hank вне форума  
Закрытая тема

Метки
firefox, injection, sql

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot