Bugtraq: тег «object» подставляет сайты с пользовательским контентом

Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте, и могут быть опубликованы без предварительной модерации.


Появилась информация об уязвимости в множестве блогхостингов и подобным им системах связанной с поддержкой браузерами стандартных (по спецификациям w3c), но не часто используемых на практике, вариантов элемента <object>.

Разработчики систем, в большинстве своем, не учитывают этих особенностей, что приводит к недостаточной фильтрации публикуемого пользователями содержимого и позволяет осуществить сохранение на сервере вредоносного кода для последующей эксплуатации (Persistent Cross Site Scripting).

Конкретных способов эксплуатации этой дыры не приводится, но в блогохостингах это делает возможным, например добавление произвольных юзеров в друзья, распространение произвольного ПО.

Источник

Добавить 16 комментариев

  • Ответить
    Роман Иванов Яндекс, а также ljsear.ch по выходным

    Непонятно, о чём идёт речь. Все массовые блогхостинги и почты имеют санитайзер, который удаляет потенциально вредоносные теги, в список которых, конечно же, тег object включен. Можно ли попросить уважаемого сотрудника компании Рамблер привести примеры уязвимых блогхостингов и почт?

  • Ответить

    >Можно ли попросить уважаемого сотрудника компании Рамблер привести примеры уязвимых блогхостингов и почт? Уважаемые сотрудник Яндекса, вы, возможно, невнимательно читали описание проблемы по ссылке, там отмечается что используются специфические варианты (т.е. те которые знают и помнят не все), а так называемые «санитайзеры» чаще элемент не удаляют, а подчищают, забывая про такие тонкости. Инкассаторы у нас тоже с автоматами ходят, с важным видом, однако грабить их некоторым гражданам удаётся весьма неплохо. Ну, а про названия, пока не скажу (проверял на двух крупных сервисах, был немало удивлен) — высока потенциальная угроза использования. Но, если кто надумает проверять, то найдет подтверждение ну не далее как со второй попытки. Кому смог — сообщил сам. Всем не смогу, нет, поэтому, тому кто из разработчиков заинтересован, имеет смысл поглядеть у себя фильтры на данный предмет.

  • Ответить

    Юра! В IE6 эта страница не открывается более чем до конца первого абзаца, в chrome — просто пробел. Похоже у тебя этот тэг в теле «чужих» новостей не экранируется.

  • Ответить

    >приличный санитайзер действует по принципу «нельзя ничего, кроме того что можно» Как оказалось у многих он неприличный. Но принцип этот правильный не всегда. Что проще составить список разрешенного или список запрещенного? Когда как. Надо по ситуации смотреть. kukutz, да, напрямую у вас не работает. небольшие детали о том какие блогхостинги все-таки уязвимы… blogger.com и livejournal.com, к примеру. http://fuzzing.ru/blog/2008/11/13/persistent-cross-site-scripting-bloggercom-livejournalcom/ Данной опасности подвержены в основном блогхостинги которые не навязывают свои видеохостинги для публикации видеороликов, а дают возможность вставлять любой.

  • Ответить
    Роман Иванов Яндекс, а также ljsear.ch по выходным

    @fuzzing, спасибо за примеры. А если не секрет, почему Вы считаете, что нашли в blogger.com уязвимость? Вроде бы в нём можно вставлять в блог вообще произвольные скрипты, разве нет?

  • Ответить

    >Если можешь, напиши мне ufokorpas@mail.ru, есть тест кейсы — посоветоваться. Написать, вообще, я могу — это я умею. Однако, я такие вопросы обсуждаю только с вендорами, но никак не с теми кто стремиться эксплуатировать их. По одной простой причине, цель — не эксплуатация, а исправление. >только жаль, куки своровать в жж не удастся В данном случае только через баг в браузере, однако с ЖЖ их можно воровать иначе, дыр хватает.

  • Ответить
    Роман Иванов Яндекс, а также ljsear.ch по выходным

    @fuzzing, потому что у них домен блогхостинга отдельный от домена, на котором блог редактируется. По этой же причине у них крайне неинтерактивные и не социальные блоги.

  • Ответить

    >потому что у них домен блогхостинга отдельный от домена, на котором блог редактируется Не понял. Вроде на одном. С куками по доменам, да — непросто там. Или может я не так понял сказанное?