Altoro Mutual: XSS w formatce logowania
O ile SQLi w formatce logowania nie jest zbyt powszechny, przynajmniej nie był w tej próbce aplikacji, które miałem okazję testować, to XSS w loginie użytkownika zdarzał się już częściej (patrz: Lekcja 21: Przykład – phishing na formatce logowania z wykorzystaniem XSS).
Okazuje się, że ten przykład również jest “zaimplementowany” w Altoro Mutual. I tak, ktoś musiał się odrobinę postarać by taki błąd tam umieścić, ponownie odsyłam do mojego dawnego wpisu Niekonsekwencje w ASP.NET.
Generalnie samo ASP.NET dba o to, by w tekście pól input XSS nie było, oczywiście jeśli ktoś używa standardowej kontrolki. A jak jest tutaj?
Tak, w pewnej chwili (jeśli aplikacji w ASP.NET przetestowało się wystarczająco wiele) intuicyjnie widać, że najprawdopodobniej nie jest to standardowa kontrolka ASP.NET, tylko coś robionego “ręcznie”. Po prostu narzędzia używane do tworzenia stron (np. Visual Studio) mają pewną konwencję nazewniczą kontrolek, a ta formatka (to pole) ewidentnie jej nie stosuje.
Dobrze, po pierwsze sprawdźmy co się stanie, gdy do strony login.aspx przekaże się w parametrze nazwę użytkownika: http://demo.testfire.net/bank/login.aspx?uid=pmq'"<>.
” style=“width: 150px;“>
A teraz zobaczmy dlaczego tak jest, w końcu możemy czytać dowolny plik, prawda?
Altoro Mutual: XSS w formatce logowania
Autor: Paweł Goleń