Tag: XSS

Niedawno znaleziono groźny łańcuch dwóch podatności (CVE-2021-27889 oraz CVE-2021-27890) w popularnym, otwartoźródłowym silniku forów dyskusyjnych MyBB. Podatności załatano w najnowszej obecnie wersji, 1.8.26.  Połączenie powyższych podatności w jeden prosty łańcuch stanowi efektywny sposób osiągnięcia pełnego RCE. Nazywam się Patryk, jestem badaczem bezpieczeństwa webaplikacji (w Internecie znanym pod nickiem SivertPL), a…

Przygody Michała Bentkowski z pomocą w zabezpieczeniu popularnej biblioteki DOMPurify

Restartujemy nasze ~regularne, bezpłatne live streamy na sekurak.tv. Tym razem Michał Bentkowski zaprezentuje na żywo temat: A word about DOMPurify bypasses a.k.a why DOM parsing is crazy. To efekt jego pastwienia się nad projektem DOMPurify, gdzie ostatnio zgłosił kilka sposobów na ominięcie oferowanych przez projekt zabezpieczeń. W pewnym momencie twórcy…

Jeśli ktoś jakimś przypadkiem nie kojarzy jeszcze podatności XSS, powinien nadrobić zaległości. W obecnych czasach ten problem potrafi przerodzić się m.in. w RCE (wykonanie kodu) u ofiary. Świeżym przypadkiem ilustrującym problem jest Cisco Jabber – czyli wygodny, okienkowy komunikator: Wygląda jak normalna aplikacja, prawda? W zasadzie tak, tylko pod spodem…

W skrócie – można było w „zwykłym” komentarzu dodać JavaScript, który następnie odpalał się w zalogowanej sesji ofiary (tzw. persistent XSS). No dobra, komentarz najprawdopodobniej nie był taki „zwykły”, ale dodany z wykorzystaniem API: Oczywiście sam JavaScript musi być odpowiednio uzbrojony, więcej na filmiku: A jeszcze więcej odnośnie tego typu…

Ciekawe znalezisko, którym @Ma7h1as podzielił się na Twitterze. Zerknijmy sobie na pewien stary biuletyn bezpieczeństwa Microsoftu (MS15-022) w anglojęzycznej wersji strony: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2015/ms15-022 Wśród naprawionych błędów znajduje się seria XSS-ów w SharePoincie. Jako możliwość zabezpieczenia przed podatnością, MS sugeruje, by uważać na konta zawierające kod HTML (rys 1). Co ciekawe, gdy wejdziemy…

Ten artykuł jest podsumowaniem moich badań związanych z problemami bezpieczeństwa w obsłudze mechanizmu kopiuj-wklej w: przeglądarkach, popularnych edytorach WYSIWYG i aplikacjach webowych. Moim głównym celem jest pokazanie, że poniższy scenariusz ataku może sprawić, że będziemy narażeni na atak: Odwiedzamy złośliwie przygotowaną stronę. Kopiujemy coś z tej strony do schowka. Przechodzimy…

Dzisiaj będzie krótko i długo ;) a cały wpis to kolejny odcinek naszej serii vulnz (codziennie na sekuraku coś ciekawego w temacie podatności). Żeby nie trzymać Was dłużej: tutaj do pobrania w PDF cały rozdział o podatności XSS (Cross-Site Scripting) z naszej sekurakowej książki.

Jeśli w tytule widzisz subtelną różnicę pomiędzy dwoma znakami mniejszości – będziesz dobrym pentesterem ;-) Dla pewności znajdźcie różnicę pomiędzy: ＜script> oraz <script> Właśnie, dla filtrów próbujących zabezpieczyć aplikację przed podatnością XSS <script> wygląda mocno podejrzanie – do usunięcia! Natomiast ＜script> wygląda całkiem OK (nie ma tu prawidłowego otwarcia tagu…

W tym tekście opisuję XSS, który znalazłem w sierpniu 2019 w usłudze AMP4Email udostępnianej przez Google od jakiegoś czasu w GMailu. Ten XSS jest ciekawym przykładem wykorzystania techniki znanej jako Dom Clobbering

Zasób udostępnia Port Swigger, reklamując listę jako idealny zasób do nauki, a także pomagający w omijaniu rozmaitych filtrów czy WAF-ów. Oczywiście wszystko w kontekście podatności XSS. Mamy tutaj wygodny filtr po przeglądarkach, w których dana metoda zadziała czy konkretny tag HTML, który chcemy wykorzystać do wstrzyknięcia JavaScriptu. W każdym razie jest…

Właśnie opublikowaliśmy obejście ochrony przed XSS dostarczanej przez DOMPurify (podatność właśnie została załatana). Całość to kolejna publikacja na naszym anglojęzycznym research blogu – poprzednie unikalne wpisy dotyczyły paru bugów w Chrome dotyczących elementu <portal>, oraz tematyki SSTI (Server-Side Template Injection) w systemie szablonów Pebble. Kolejne publikacje niebawem, śledźcie bezpośrednio research.securitum.com i/lub konto…

Co robi dobry badacz bezpieczeństwa po zakupie nowego samochodu, dajmy na to Tesli model 3? Oczywiście zaczyna niezwłocznie szukać podatności. Tak też stało się i w tym przypadku. Szło jednak kiepsko – żadnych format stringów poprzez podłączanie telefonu o nazwie %x%x%x%x, a nazwanie samochodu w dość specyficzny sposób też niewiele…

Mobilny klient poczty od Microsoft posiadał lukę (CVE-2019-1105, bardzo skromny opis na stronie firmy) umożliwiającą zdalne wykonanie kodu na Androidzie. Sprawa zaczęła się, kiedy Bryan Appleby z F5 Networks otrzymał od znajomego bezpieczny kod JavaScript w wiadomości. Ekspert zauważył, że e-mail został dziwnie sformatowany. Wyglądał następująco:   Natomiast po otwarciu…

Strona google.com czy google.pl raczej powinny być przepatrzone pod względem bezpieczeństwa już 1000 razy, prawda? Pewnie prawda, ale nie znaczy to, że nie ma tam żadnych podatności. Znany japoński badacz bezpieczeństwa – Masato Kinugawa – pokazał XSS-a w na głównej wyszukiwarce Google. Whoops: Akcja na filmie poniżej: Co było przyczyną błędu?…