« Home | XSS באתר information.com » | שאלת שימוש הוגן בתוכנות Freeware ( עם פרסומות ) » | MSN Messenger - Ad Block - Revisited » | IPhone Unlock - בקוד פתוח » | Security Bloggers Network » | CISCO 0-Day ללא טלאי עדיין - מסכן את הגישה שלנו לרשת » | שופץ ושוחזר - עיצוב הבלוג » | בעיות עם בלוגר » | Blog Day 2007 , קצת באיחור » | TOR לגלישה אנונימית - מה זה , ודרכי התמודדות בסיסיות »

XSS באתר hadassah.ac.il

האמת היא שפשוט תוך כדי שיטוט שלי באתרי אקדמיות שונות בארץ , מצאתי להפתעתי ( או לא להפתעתי )  שישנן גם פגיעויות XSS בהם. זה לא מפתיע במיוחד , אבל ככה זה . בכל מקרה למרות שאני לא נוהג לזרוק לבלוג כל פגיעות או פירצה שאני מוצא , אבל מידי פעם זה פשוט נדרש ( מה גם שגיא דוחף אותי לפרסם דברים כאלה פה ושם , כדי "להחזיר משהו לקהילה" ).

 
בכל אופן , זה כאן . אני בכל מקרה Whitehat ולכן , אין לי כל סיבה או רצון להמשיך לחפור ולבדוק לאן עוד ניתן להגיע , אבל ברור שאפשר. לצערי , למרות שאני נוהג בד"כ להודיע לגוף שבו מצאתי בעיית אבטחה , למכללת הדסה אין נקודת פניה גלויה לציבור הגולשים. שלחתי הודעה לכתובת הכללית ליצירת קשר.
 
POC :
1. יש להיכנס לאתר www.hadassah.ac.il
2. יש להקיש בחלון החיפוש בצד ימין - <script>alert("xss");</script>
3. הXSS להוכחת פגיעות יפעיל חלון שבו יהיה כתוב XSS כמובן.
 
אגב , נושא הXSS פוקד אותי לאחרונה למחקרים עמוקים אודות כדאיות ושימושיות מערכות Application-Layer-Firewall אשר מגינות בדיוק כנגד בעיות כאלו , וכמובן יכולת ועומק הטיפול בבעיות משתנה ככל שהמוצרים מתפתחים.
 

Labels: , , , , ,

Syndication : Digg It  Add to Technorati Favorites  Stumble It  Worth Reading 

בארי, למיטב הבנתי אין בסוג כזה של xss בעיה כלל, הבעיה הנה רק במקום בו קוד מושתל לתוך דף אשר צופה בו משתמש אחר (נניח פורום/מיייל וכו..)
צום קל,
~עינב

עינב, הבעיה שאת מדברת עליה נקראת - PERSISTANT XSS. ונכון , היא חמורה מאוד , אבל במקרה שכזה . אני יכול להריץ סקריפט אשר יפנה לצד שרת ולבצע פעולות כמו למשל OWN על מערכת.

בנוסף , אני יכול להכניס את האתר לקישורים שונים אשר אני מפנה אליו עם סקריפט שתול ויוצר בעצם PHARMING ATTACK באמצעות אתר שכזה.

אגב ,אחת הבעיות שיש היא למשל שאם אני שם אצלי באתר לינק לאתר הזה , עם הסקיפט בפנים , גוגל יבצע לקישור אירכוב - ומשתמשים יוכלו לחטוף את ההתקפה ישירות מגוגל.

מעניין.

אני לא מבין מה הצורך בהתקנת FW על דברים כאלה. לרוב מדובר בבדיקות פשוטות בצד שרת, שבחלק מהסביבות נעשות בצורה אוטומאטית.

ב-ASP.net למשל, יש בדיקה שמונעת שליחה של תגי HTML שונים, שמופעלת כברירת מחדל אלא אם המתכנת בחר לוותר עליה (ValidateRequest=False).



משה
מנסה להתאושש אחרי צום קשה.

השיחה הזו שווה פוסט משל עצמה , לגבי נכונות שימושיות של APP-LAYER-FW. אבל זה בעתיד ...

העיקרון הוא כזה , שיש בדיקו רבות ברמת שדות וקוד , אשר אינן נעשות בגלל קוצר זמן , ולכן FW שכזה יוצא גם COST-EFFECTIE וגם חוסך הרבה טרחה , אם כי יש להקפיד להשגיח עליו.

בנוסף - שים לב - הפקודות שמורצות בדר"כ הן JAVASCRIPT, מה שנתמך ברמה אחת למעלה , וגם בדפדפן עצמו , ולכן יותר מורכב להגן.

גמר חתימה טובה.

זה, למשל, קישור שמנצל את הפירצה.

אם הייתי מקשר לאתר שנראה בדיוק כמו זה של המכללה, הייתי יכול ליצור כאן פישינג פשוט.

Post a Comment

About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites