RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Thursday, October 8. 2009

Podatności stają się oczywiste II

Pora napisać nieco więcej w komentarzu do Podatności stają się oczywiste, jak się je już znajdzie. Oczywistą podatnością, której do tej pory nikt nie znalazł, jest XSS. Znalezione zostały natomiast dwa inne problemy:

  • możliwość obejścia walidacji kodu pocztowego,
  • "dziwne" zachowanie aplikacji w przypadku przekazania tablicy,

Sposób obejścia walidacji kodu pocztowego jest prosta. Regexp, który służy do jego sprawdzenia wygląda tak: \d{2}-\d{3}, wystarczy więc dopisać jakiś fragment przed lub po prawidłowym (w sensie tego regexpa) kodzie pocztowym i "walidator" zostanie oszukany. Zresztą tu rozwiązanie podesłał radekk: http://codepad.org/ThxCjqyC?.

Jest to niewątpliwie błąd, nad jego przydatnością można się zastanawiać. Zależy to głównie od tego, co dalej będzie działo się z tak wprowadzonymi danymi. Może to nie mieć żadnego znaczenia (poza wprowadzeniem bzdurnych danych), ale trafiałem na przypadki, w których tego typu błędy prowadziły do naruszenia spójności bazy danych, cała aplikacja przestawała działać i konieczna była ręczna interwencja operatora, który z bazy takie nieprawidłowe dane usuwał.

Sposób obsługi tablic wartości parametru jest cechą specyficzną dla PHP, błąd tego typu występował ostatnio w WordPress (WordPress <= 2.8.3 Remote admin reset password). W przypadku tego przykładu skutki tego błędu są mniej spektakularne. Wyświetlane są komunikaty błędów, które mogą mówić coś o aplikacji (np. jakie wykorzystane są funkcje). Ujawniane jest też istnienie dodatkowego pliku PHP.

Czasami znalezienie czegoś (jakiejś podatności) osłabia czujność/uwagę, co może doprowadzić do przeoczenia innych błędów lub podatności. Niestety, w trakcie testów nie ma informacji ile błędów jest w jakiej formatce, dlatego o przeoczenie błędów wcale nie tak trudno. Niektóre z tych przeoczonych błędów, jak je się już znajdzie, wydają się takie oczywiste...

Jeśli chodzi o XSS, to na razie tylko dwa hinty:

Powodzenia!

Ślady
Szukania SQLi i XSSów mam już dość
Ten wpis jest nieco przewrotnym komentarzem do wpisu Przemka:Testowanie logiki biznesowej. Mam dość szukania SQLi i XSSów, bo jest to umiarkowanie efektywne podejście, dodatkowo często uwsteczniające intelektualnie, monotonne i nużące. Skupiając się na te
Weblog: Wampiryczny blog
Przesłany: Oct 13, 20:42
Podatności stają się oczywiste III
Kilku osobom udało się znaleźć oczywistą podatność (patrz Podatności stają się oczywiste II). Jeśli komuś się jeszcze nie udało, to podpowiem, że podatny jest parametr pRadio, przy czym podatność występuje wtedy, gdy walidator (jedyny walidator to walidac
Weblog: Wampiryczny blog
Przesłany: Oct 19, 19:00
Komentarze
Pozostałe "podatności" skutecznie odciągnęły wzrok od tego na czym powinno się skupić najbardziej.
W tym przykładzie szansa na znalezienie XSS-a jest odwrotnie proporcjonalna do stopnia skomplikowania stosowanych technik detekcji.

Ja już znalazłem swojego "wektora", a Ty?
#1 radekk (Strona) o 2009-10-08 19:34 (Odpowiedz)
Faktycznie rozwiązanie (o ile to to) jest banalne - kluczem do rozwiązania jest zastanowienie się, gdzie możnaby wstrzyknąć własny kod w tymże HTMLu. Bo może nie tam, gdzie zwykle się udaje...
#1.1 Krzysztof Kotowicz (Strona) o 2009-10-09 01:08 (Odpowiedz)
Ja jeszcze podpowiem, że zawsze staram się mieć włączony debugger JavaScript prócz tego "fuzzowany" rezultat porównuję z oryginałem (WinMerge).
#1.1.1 Paweł Goleń o 2009-10-09 07:19 (Odpowiedz)
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

1326
Sunday, 29 December 2024
Rok linuksa na desktopie
Sunday, 22 December 2024
Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023

Losowe wpisy

Cryptographic Storage - jak to robić poprawnie
Monday, 7 March 2011
Przeprowadzka...
Tuesday, 2 June 2009
Całość z kawałków II
Tuesday, 17 January 2012
47 kilometrów w 1,5 godziny
Sunday, 1 October 2006
Co mówi rejestr, czyli LastWriteTime
Monday, 7 April 2008
Ślad po sdelete
Monday, 10 November 2008
(Nie)bezpieczny Firefox 3
Thursday, 19 June 2008
Edge fajny jest
Monday, 17 August 2015
I (prawie) po emigracji
Wednesday, 10 June 2015
random(random())
Tuesday, 1 August 2023