Jak wiele razy zarobić $1000 na tym samym błędzie? Zaskakująca historia dwóch braci: <oraz <

10 lutego 2020, 17:56 | W biegu | komentarze 3
Tagi: , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.
Eksperymentalnie, przez tydzień postaramy się codziennie publikować minimum jedną podatność (nową, lub po prostu ciekawą) – wpisy można obserwować pod tagiem vulnz (tutaj RSS).

Jeśli w tytule widzisz subtelną różnicę pomiędzy dwoma znakami mniejszości – będziesz dobrym pentesterem ;-) Dla pewności znajdźcie różnicę pomiędzy:

<script> oraz <script>

Właśnie, dla filtrów próbujących zabezpieczyć aplikację przed podatnością XSS <script> wygląda mocno podejrzanie – do usunięcia! Natomiast <script> wygląda całkiem OK (nie ma tu prawidłowego otwarcia tagu HTML).

Jeszcze inaczej – co się stanie jeśli aplikacja po otrzymaniu ciągu znaków od użytkownika następujące operacje:

  1. Sprawdź czy nie ma tu czegoś niebezpiecznego (<script> – tutaj wszystko OK)
  2. Normalizacja (ok. znormalizujmy to do <script>)

Oczywiście wtedy mamy podatność (sprawdzenie powinno być realizowane po normalizacji).

Co z tym wielokrotnym zarobieniu na tym samym błędzie? Popatrzcie tutaj, tutaj oraz tutaj – to XSS-y zgłoszone do jednej firmy, w odstępie dwóch lat. Za każde wypłata $1000 :-) w każdym znajdziecie magiczny znak <.

Więcej odnośnie „magicznego znaku” możecie poczytać tutaj; jest też taki pół-magiczny ﹤

Podsumowując, załóżcie okulary i zerknijcie na to: <﹤<

PS
Niestety na sekuraku mamy tylko dość wiekowy tekst o XSS-ach; za to super świeży – w naszej książce.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marcin

    Od jakiegos czasu ‚obserwuje’ tego goscia, robi niezla robote. Ostatnio opublikowal na swoim blogu podatnosc paypall w ktorej uzyskal dane w plaintext. Ciekawie zrobil PoC, fajnie, że ludzie dzielą się wiedzą ale wiadomo, każdy chce mieć w tym swój udział i stara się szukać nowych ścieżek,

    Pzdr,

    Odpowiedz
  2. Monter

    Czy to jest U+FF1C ?

    Odpowiedz
  3. zxcv

    czekam na więcej znaków „>” w artykule

    Odpowiedz

Odpowiedz