Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jak wiele razy zarobić $1000 na tym samym błędzie? Zaskakująca historia dwóch braci: <oraz <
Eksperymentalnie, przez tydzień postaramy się codziennie publikować minimum jedną podatność (nową, lub po prostu ciekawą) – wpisy można obserwować pod tagiem vulnz (tutaj RSS).
Jeśli w tytule widzisz subtelną różnicę pomiędzy dwoma znakami mniejszości – będziesz dobrym pentesterem ;-) Dla pewności znajdźcie różnicę pomiędzy:
<script> oraz <script>
Właśnie, dla filtrów próbujących zabezpieczyć aplikację przed podatnością XSS <script> wygląda mocno podejrzanie – do usunięcia! Natomiast <script> wygląda całkiem OK (nie ma tu prawidłowego otwarcia tagu HTML).
Jeszcze inaczej – co się stanie jeśli aplikacja po otrzymaniu ciągu znaków od użytkownika następujące operacje:
- Sprawdź czy nie ma tu czegoś niebezpiecznego (<script> – tutaj wszystko OK)
- Normalizacja (ok. znormalizujmy to do <script>)
Oczywiście wtedy mamy podatność (sprawdzenie powinno być realizowane po normalizacji).
Co z tym wielokrotnym zarobieniu na tym samym błędzie? Popatrzcie tutaj, tutaj oraz tutaj – to XSS-y zgłoszone do jednej firmy, w odstępie dwóch lat. Za każde wypłata $1000 :-) w każdym znajdziecie magiczny znak <.
Więcej odnośnie „magicznego znaku” możecie poczytać tutaj; jest też taki pół-magiczny ﹤
Podsumowując, załóżcie okulary i zerknijcie na to: <﹤<
PS
Niestety na sekuraku mamy tylko dość wiekowy tekst o XSS-ach; za to super świeży – w naszej książce.
–ms
Od jakiegos czasu 'obserwuje’ tego goscia, robi niezla robote. Ostatnio opublikowal na swoim blogu podatnosc paypall w ktorej uzyskal dane w plaintext. Ciekawie zrobil PoC, fajnie, że ludzie dzielą się wiedzą ale wiadomo, każdy chce mieć w tym swój udział i stara się szukać nowych ścieżek,
Pzdr,
Czy to jest U+FF1C ?
czekam na więcej znaków „>” w artykule