Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте, и могут быть опубликованы без предварительной модерации.
Появилась информация об уязвимости в множестве блогхостингов и подобным им системах связанной с поддержкой браузерами стандартных (по спецификациям w3c), но не часто используемых на практике, вариантов элемента <object>.
Разработчики систем, в большинстве своем, не учитывают этих особенностей, что приводит к недостаточной фильтрации публикуемого пользователями содержимого и позволяет осуществить сохранение на сервере вредоносного кода для последующей эксплуатации (Persistent Cross Site Scripting).
Конкретных способов эксплуатации этой дыры не приводится, но в блогохостингах это делает возможным, например добавление произвольных юзеров в друзья, распространение произвольного ПО.
Добавить 16 комментариев
Непонятно, о чём идёт речь. Все массовые блогхостинги и почты имеют санитайзер, который удаляет потенциально вредоносные теги, в список которых, конечно же, тег object включен. Можно ли попросить уважаемого сотрудника компании Рамблер привести примеры уязвимых блогхостингов и почт?
>Можно ли попросить уважаемого сотрудника компании Рамблер привести примеры уязвимых блогхостингов и почт? Уважаемые сотрудник Яндекса, вы, возможно, невнимательно читали описание проблемы по ссылке, там отмечается что используются специфические варианты (т.е. те которые знают и помнят не все), а так называемые «санитайзеры» чаще элемент не удаляют а подчищают, забывая про такие тонкости. Инкассаторы у нас тоже с автоматами ходят, с важным видом, однако грабить их некоторым гражданам удаётся весьма неплохо. Ну а про названия, пока не скажу (проверял на двух крупных сервисах, был немало удивлен) — высока потенциальная угроза использования. Но, если кто надумает проверять, то найдет подтверждение ну не далее как со второй попытки. Кому смог — сообщил сам. Всем не смогу, нет, поэтому, тому кто из разработчиков заинтересован, имеет смысл поглядеть у себя фильтры на данный предмет.
Роман, вы знаете, я проверил. Ну если Вам интересно, я Вас только что добавил в друзья, гляньте в мой ЖЖ, оно повисит там какое-то время.
Да, я для Вас специальную группу выделил, так что теперь это только Вам видно да мне. Оно работает, что, конечно, неприятно.
Ясно. На сервисах Яндекса мне не удалось воспроизвести проблему.
Ну вот я и перестал понимать, о чем вы разговариваете…
Юра! В IE6 эта страница не открывается более чем до конца первого абзаца, в chrome — просто пробел. Похоже у тебя этот тэг в теле «чужих» новостей не экранируется.
>так называемые «санитайзеры» чаще элемент не удаляют а подчищают приличный санитайзер действует по принципу «нельзя ничего, кроме того что можно»
>приличный санитайзер действует по принципу «нельзя ничего, кроме того что можно» Как оказалось у многих он неприличный. Но принцип этот правильный не всегда. Что проще составить список разрешенного или список запрещенного? Когда как. Надо по ситуации смотреть. kukutz, да, напрямую у вас не работает. небольшие детали о том какие блогхостинги все-таки уязвимы… blogger.com и livejournal.com, к примеру. http://fuzzing.ru/blog/2008/11/13/persistent-cross-site-scripting-bloggercom-livejournalcom/ Данной опасности подвержены в основном блогхостинги которые не навязывают свои видеохостинги для публикации видеороликов, а дают возможность вставлять любой.
@fuzzing, спасибо за примеры. А если не секрет, почему Вы считаете, что нашли в blogger.com уязвимость? Вроде бы в нём можно вставлять в блог вообще произвольные скрипты, разве нет?
fuzzing верим, проверили :) только жаль, куки своровать в жж не удастся. Если можешь, напиши мне ufokorpas@mail.ru, есть тест кейсы – посоветоваться.
Да, вы правы. Можно. Убрал. Почему у них так много позволяют мне совсем непонятно.
>Если можешь, напиши мне ufokorpas@mail.ru, есть тест кейсы – посоветоваться. Написать, вообще, я могу — это я умею. Однако, я такие вопросы обсуждаю только с вендорами, но никак не с теми кто стремиться эксплуатировать их. По одной простой причине, цель — не эксплуатация, а исправление. >только жаль, куки своровать в жж не удастся В данном случае только через баг в браузере, однако с ЖЖ их можно воровать иначе, дыр хватает.
@fuzzing, потому что у них домен блогхостинга отдельный от домена, на котором блог редактируется. По этой же причине у них крайне неинтерактивные и не социальные блоги.
>потому что у них домен блогхостинга отдельный от домена, на котором блог редактируется Не понял. Вроде на одном. С куками по доменам, да — непросто там. Или может я не так понял сказанное?
fuzzing, не эксплуатировать это по джентльменски, видимо не так выразился. Я от вендора, напишите (можено суда pavel.kornilov@sup.com), все объясню. Обыскался вашей почты в интернетах :(