Bootcamp V: Cross Site Request Forgery i Cross Site Scripting (tylko przykład)
Zgodnie z zapowiedzią kolejny przykład – połączenie podatności Cross Site Request Forgery i Cross Site Scripting.
Zgodnie z zapowiedzią kolejny przykład – połączenie podatności Cross Site Request Forgery i Cross Site Scripting.
Zarówno ja, jak i środowisko, w którym się obracam, jesteśmy obarczeni pewnym zboczeniem zawodowym. Prowadzi to czasem do abstrakcyjnych dość rozważań.
Jest sobie konkurs: CONFidence Security Evangelist. Jestem strasznie ciekawy kandydatur w kategorii Polish Politician Promoting IT Security.
Oryginał tego wpisu dostępny jest pod adresem CONFidence Security Evangelist
Autor: Paweł Goleń
Udostępniam kolejną lekcję, czyli tekst do zadania z Cross Site Request Forgery. Proponuję przyglądnąć się przy pomocy Fiddlera, lub innego proxy (WebScarab, Burp), jakie żądania generuje przeglądarka. Atak CSRF został wykorzystany choćby tu: Twitter XSS/CSRF worm series, a wcześniej (to już prawie cztery lata temu): Myspace CSRF and XSS Worm (Samy). Mój przykład specjalnie składa się z dwóch (lub więcej) żądań HTTP, by pokazać, że CSRF to nie tylko one-click-attack.
Oryginał tego wpisu dostępny jest pod adresem Bootcamp IV: CSRF – jak to zrobić
Autor: Paweł Goleń
Nie widzę jakiegoś powalającego zainteresowania przykładami, które udostępniam na bootcamp. Są za proste? W każdym razie czekam, aż ktoś poda rozwiązanie jak w przykładzie z CSRF wykorzystać XSS do automatycznego usunięcia wiadomości. Chodzi o to, by po wysłaniu wiadomości (która jest wypisywana następnie na stronie) przeglądarka klienta sama (oczywiście w wyniku przekazanego kodu) wygenerowała dwa żądania HTTP:
Tak jak pisałem nie jest to do końca “typowe” CSRF, ponieważ “coś” co ma zmusić przeglądarkę do wygenerowania żądań jest osadzone na atakowanej stronie. Kolejny odcinek będzie również o CSRF, ale tym razem na stronie będzie istniał token zabezpieczający. Zadanie będzie również proste, osadzony wrogi kod będzie musiał odczytać token zabezpieczający i przygotować odpowiednie żądanie. Ale to już w kolejnym odcinku, na razie czekam na rozwiązanie dla http://bootcamp.threats.pl/lesson04/.
Od października 2008 roku Microsoft poza Severity Rating System udostępnia również drugi “parametr” opisujący podatność: Exploitability Index. Po co?
Kolejna lekcja: Cross Site Request Forgery, na razie tylko przykład. Całość to nieco zmodyfikowana lekcja III, do której wprowadziłem podatność XSS. Poza tym parametr action jest brany obecnie z $POST, a nie $REQUEST (by nie było za łatwo). Zadanie – za pomocą XSS usunąć dowolną wiadomość. Nie jest to do końca “cross site”, bo atak jest z tej samej strony, na której wykonywana jest akcja, ale chodzi o pokazanie, że można zmusić przeglądarkę, by wykonała akcję bez udziału użytkownika.
Nie lubię świąt. Mam kolejny argument – świąteczne wyjazdy/powroty. Z roku na rok jest coraz gorzej. My chcemy Euro 2012??? Już widzę te tabuny uradowanych kibiców piłkarskich “oglądających” mecze w korkach... Drogowych oczywiście.
Jeśli komputer zachowuje się dziwnie, działa niedeterministycznie, zawiesza się to... pora na wiosenne porządki. Takie z użyciem odkurzacza. Komputer to maszyna. Ma to do siebie, że się grzeje, w szczególności zasilacz, procesor, karta graficzna, chipset czy dysk (między “starymi” barracudami można było robić tosty). Urządzenia elektroniczne mają to do siebie, że działają prawidłowo w pewnych zakresach temperatur, dlatego w komputerach można znaleźć radiatory i wentylatory, a wszystko po to, by efektywnie odprowadzać ciepło i utrzymać akceptowalną temperaturę. Jeśli te elementy są zakurzone, nie mogą odprowadzać ciepła w sposób efektywny. A wtedy komputer zaczyna zachowywać się “dziwnie”...
Jednym z efektów ubocznych “znania się na komputerach” jest fakt, że człowiek staje się supportem dla całkiem sporej liczby krewnych i znajomych królika...