RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Tuesday, August 19. 2008

a href=javascript jest... no niespodzianka - ZŁE!

W aplikacjach sieciowych często zamiast "czystych" linków, wykorzystywany jest JavaScript. Po kliknięciu na obiekt (link, obrazek, paragraf), wykonuje się pewna akcja, na przykład otwiera się nowa strona w nowym oknie przeglądarki. Czasami adres tej nowej strony budowany jest na podstawie parametrów przesłanych przez użytkownika. Jeśli wartość wstawiana jest "wprost", jest oczywiście XSS. Zamiast tego znaki specjalne powinny być kodowane z wykorzystaniem URL Encoding. Tylko jest jedna, mała niespodzianka.

Poniżej przykład tej niespodzianki:

W obu przypadkach wołana jest prosta funkcja fTest, której jedynym zadaniem jest wypisanie wartości przekazanego do niej parametru. W obu przypadkach wywołanie wygląda w sposób następujący:

javascript:fTest('testowy%27%29%7C%7Calert%28%2FXSS%2F%29%3B%2F%2Fstring')

Różnica między dwoma przypadkami jest taka, że w pierwszym przypadku funkcja ta wywołana jest w zdarzeniu onclick, w drugim przypadku wywołanie tej funkcji jest po prostu w href. Parametr ma wartość testowy%27%29%7C%7Calert%28%2FXSS%2F%29%3B%2F%2Fstring, gdzie między testowy a string wstawiony jest fragment w url encoding. Fragment ten w oryginale to ')||alert(/XSS/);//. Jeśli wartość ta zostałaby wstawiona do skryptu bez encodingu, wówczas fakt istnienia XSS byłby oczywisty. Dlaczego ten powyższy przykład działa (sprawdzałem w Firefox, Internet Explorer i Opera)? Wygląda na to, że w przypadku href do interpretera JavaScript przekazywany jest odkodowany łańcuch znaków, czyli zdejmowane jest zastosowane zabezpieczenie. Dlaczego tak się dzieje - nie wiem, ale chyba ma to sens, skoro trzy wymienione przeglądarki zachowują się w opisywany sposób. Pozostaje więc przyjąć, że umieszczanie kodu JavaScript w href jest ZŁE i zamiast tego umieszczać go w zdarzeniu onclick (lub innym odpowiednim dla danej sytuacji).

Ślady
Znaj swój kontekst
Wiele razy pisałem i mówiłem, że encoding musi być właściwy dla kontekstu, w którym dane będą użyte. Tu kolejny przykład, w którym kontekst został źle zidentyfikowany: Twitter misidentifying context. Przypomina mi to przypadek, który opisałem w a href=jav
Weblog: Wampiryczny blog
Przesłany: Nov 24, 16:14
Komentarze
szkoda ze nie wszyscy webmasterzy stosuja sie do takich rad... Potem strony wygladaja tak jak wygladaja...
#1 jQuery (Strona) o 2009-07-28 17:19 (Odpowiedz)
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

Czy słonia można zafortepianić?
Monday, 10 January 2011
LastPass - a nie mówiłem?
Tuesday, 27 December 2022
Jakoś nie układa mi się z tym rowerem...
Wednesday, 26 August 2009
Do zapisania w umowie: Application Security Verification Standards
Thursday, 30 April 2009
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
CONFidence Class
Tuesday, 4 June 2019
Siedmiu krasnoludków
Friday, 30 July 2010
Najprostsze rozwiązania są najlepsze
Sunday, 15 June 2014
SQLite, czyli gdy nie ma LogParsera
Saturday, 23 December 2006
USB Hacks
Thursday, 3 July 2008