Sigurnosni propust: mogućnost ubacivanja js koda (Ideje, sugestije, prijava problema i pomoć u vezi Foruma) @ Bug.hr Forum

MrBlc

15 godina

odjavljen

offline

ned 12.6.2016 21:16

Odgovori Citiraj

Sigurnosni propust: mogućnost ubacivanja js koda

Primjer posta koji to (zlo)upotrebljava: http://www.bug.hr/forum/post/ostalo/smijesne-slike/5058797.aspx

Opis slike se ne čisti, već se omogućuje unos html tagova, uključujući i js tag.

Moguće su i daleko gore zloupotrebe!

Opis slike <script>alert("told you!");</script>

Big wheel keep on turning, Proud Mary keep on burning, Trolling, trolling, trolling on the river.

Poruka je uređivana zadnji put ned 12.6.2016 21:22 (MrBlc).

trajni link

11 0 hvala 3

Marko :D

13 godina

offline

ned 12.6.2016 21:45

Odgovori Citiraj

Sigurnosni propust: mogućnost ubacivanja js koda

Eto Domagoju posla.

trajni link

0 0 hvala 0

Entry Point

10 godina

offline

ned 12.6.2016 22:00

Odgovori Citiraj

Re: Sigurnosni propust: mogućnost ubacivanja js ko

A mogao si to i privatno prijaviti, a ne objaviti kao post. Kad uklone onda objavis. Jbm ne radi se to tako.

Samomrzeći hrvat

Moj PC

trajni link

0 0 hvala 0

MrBlc

15 godina

odjavljen

offline

pon 13.6.2016 7:15

Odgovori Citiraj

Sigurnosni propust: mogućnost ubacivanja js koda

Nije zero day exploit jer se već koristilo na forumu. Onaj tko ima namjeru iskoristiti će jednako lako skužiti kako je napravljano u linkanom postu.

Big wheel keep on turning, Proud Mary keep on burning, Trolling, trolling, trolling on the river.

trajni link

0 0 hvala 0

Entry Point

10 godina

offline

pon 13.6.2016 14:57

Odgovori Citiraj

Re: Sigurnosni propust: mogućnost ubacivanja js ko

MrBlc kaže...

Nije zero day exploit jer se već koristilo na forumu. Onaj tko ima namjeru iskoristiti će jednako lako skužiti kako je napravljano u linkanom postu.

Nije, ali je persistent XSS koji svašta može napraviti ako se želi, a objava da postoji prije nego je problem rješen je djetinjasto i nezrelo, skoro pa da želiš da se glupost dogodi. To se tako ne radi.

Samomrzeći hrvat

Moj PC

trajni link nadporuka

0 0 hvala 0

bunkermax

10 godina

protjeran

offline

pon 13.6.2016 15:02

Odgovori Citiraj

Re: Sigurnosni propust: mogućnost ubacivanja js ko

A mozda je covjek na vrijeme javio odgovornima. I ako nisu reagirali, mozda ih ovako motivira da pozure sa krpanjem...

trajni link

0 0 hvala 0

Entry Point

10 godina

offline

pon 13.6.2016 15:08

Odgovori Citiraj

Sigurnosni propust: mogućnost ubacivanja js koda

Jel sad jasnije zašto? S time da se mogu malo gadnije stvari napraviti.

Samomrzeći hrvat

Moj PC

trajni link

0 0 hvala 0

Domagoj

16 godina

moderator

offline

pon 13.6.2016 16:42

Odgovori Citiraj

Sigurnosni propust: mogućnost ubacivanja js koda

Sređeno.

(Za one koje zanima, kriva je bila skripta za "povećavanje" slika. Ja joj pošaljem escapeano, a ona se napravi blesava pa to vrati natrag u HTML. Treba pazit što se uzima s Interneta. :-))

Hvala svima koji su javili PP, a ne ovdje :-P

Domagoj

trajni link

6 0 hvala 2