Сабж

По моему, получилось веселее, чем у VEAPUK'a, не находите?

P.S: Они хоть бы сайты научились делать, манивиннеры хреновы

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>По моему, получилось веселее, чем у VEAPUK'a, не находите?


KV>P.S: Они хоть бы сайты научились делать, манивиннеры хреновы

Хорошая ссылка для дебага лисы — истекла за 20-30 секунд...

Здравствуйте, kochetkov.vladimir, Вы писали:

*уставшим таким голосом* neFormal, на этот раз, что не так-то?

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>*уставшим таким голосом* neFormal, на этот раз, что не так-то?

эм, ты так говоришь, как будто я преследую тебя во всех твоих топиках.. это действительно так?. ~_^

а по теме:
KV>По моему, получилось веселее, чем у VEAPUK'a, не находите?

не нашёл..

Здравствуйте, neFormal, Вы писали:

F>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>*уставшим таким голосом* neFormal, на этот раз, что не так-то?

F>эм, ты так говоришь, как будто я преследую тебя во всех твоих топиках.. это действительно так?. ~_^

Да нет, вроде не преследуешь "На этот раз..." относилось не лично к тебе, а к очередному молчаливому минусу в мой адрес вообще, в принципе.

F>а по теме:
KV>>По моему, получилось веселее, чем у VEAPUK'a, не находите?
F>не нашёл..

Черт. А я так надеялся что твой минус обозначает, что ты сторонник того, что XSS — это проблемы браузеров, а не веб-приложений и, что мы сейчас дружно переедем в КСВ...

День прожит зря

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>По моему, получилось веселее, чем у VEAPUK'a, не находите?

Чтобы посмотреть на результаты твоих трудов, пришлось приложить немало усилий.

Chrome — молча не сработало.
IE8 — сказал "Internet Explorer has modified this page to help prevent cross-site scripting". Как отключить не нашел.
Пришлось запускать Тормозиллу. В ней оказался установлен плагин NoScript, который, по его собственному выражению "отфильтровал XSS-атаку". Только отключив плагин и перезапустив FireFox, смог наблюдать карусель.
Оперы и прочей экзотики сроду не держал, проверить не смог.

Выводы сделал следующие:
1. Я пользуюсь правильным браузером;
2. kochetkov.vladimir очень не ленивый человек;
3. FireFox не только тормозное поделие, но еще и дырявое, как решето;
4. Бедным хацкерам, должно быть, очень тяжело приходится: не каждого заставишь так много телодвижений совершить;
5. Улыбающимся здесь

Автор: kochetkov.vladimir
Дата: 31.01.10

товарищам следует выразить сочувствие: они используют FireFox (или какое-то другое дырявое чудо).

Ну, ждём переезда в КСВ.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>P.S: Они хоть бы сайты научились делать, манивиннеры хреновы

По ходу Opera — единственный браузер, который почти нормально из зкоробки всё отрисовал, включая вышеупомянутую "карусель". А вообще как-то не сильно смешно

Здравствуйте, Laurel, Вы писали:

L>Chrome — молча не сработало.

Не совсем молча. Если глянуть в консоль javascript, то там будет написано, что скрипт был заблокирован из-за того, что он был обнаружен в теле GET-запроса. Что, в общем-то правильно. На самом деле, в хром (начиная с какой-то из 4.x версии, насколько я помню) встроен лучший фильтр отраженных XSS из тех, которыми могут похвастаться остальные браузеры. Точнее не в сам хром, а в вебкит, но не суть. Причем в пятой dev-версии, они вылизали его до такого состояния, что до сих пор (уже почти неделю) не обнаружено ни одного способа обхода этого фильтра. Это о многом говорит. Обычно такие способы находятся на 1-2ый день после выпуска новой версии.

L>IE8 — сказал "Internet Explorer has modified this page to help prevent cross-site scripting". Как отключить не нашел.

В IE8 фильтр реализован по-дурацки. Вместо того, чтобы просто блокировать то, что он счел скриптом из отраженной XSS, он видоизменяет подозрительную строку, вставляя в нее посторонние символы. В итоге, на фоне того, что поддержка альтернативных кодировок и способов представления некоторых символов там реализована криво, этот фильтр достаточно легко обходится.

L>Пришлось запускать Тормозиллу. В ней оказался установлен плагин NoScript, который, по его собственному выражению "отфильтровал XSS-атаку". Только отключив плагин и перезапустив FireFox, смог наблюдать карусель.

У NoScript'а есть только один недостаток — он не поставляется в коробке с фоксом. В остальном, в качестве фильтра отраженных XSS, он ничем не уступает вебкитовскому.

L>Оперы и прочей экзотики сроду не держал, проверить не смог.

А зря. Как уже заметили выше, опера — единственный из этих 4 браузеров (если брать их последние версии), в котором все работает из коробки.

L>Выводы сделал следующие:
L>1. Я пользуюсь правильным браузером;

Я тоже

L>2. kochetkov.vladimir очень не ленивый человек;

Я очень ленив. Если бы я не был ленив, то эта ссылка работала бы везде, кроме хрома >= 4 и фокса с установленным noscript. Я серьезно.

L>3. FireFox не только тормозное поделие, но еще и дырявое, как решето;

Ну, это ты зря. Функционал, который встраивается в других броузерах прямо в движок, они отдали на откуп расширениям, только и всего. Другое дело, что им следовало бы поставлять с фоксом тот же noscript в конфигурации с отключенной блокировкой выполнения активного содержимого, но с включенным фильтром тех атак, которые он умеет детектить. Цены бы тогда фоксу не было

L>4. Бедным хацкерам, должно быть, очень тяжело приходится: не каждого заставишь так много телодвижений совершить;

См. п.2 Я потратил на все это около 10-15 минут. Хакер, планирующий XSS-атаку на какой-либо популярный ресурс (например, с целью формирования ботнета) тратит на вылизывание своего payload'a до нескольких недель. И, как показывает практика, телодвижений зачастую, вообще ни от кого не требуется.

L>5. Улыбающимся здесь

Автор: kochetkov.vladimir
Дата: 31.01.10

товарищам следует выразить сочувствие: они используют FireFox (или какое-то другое дырявое чудо).

Может они используют другие браузеры и улыбаются от радости, что у них все ок?

L>Ну, ждём переезда в КСВ.

Здравствуйте, frogkiller, Вы писали:

F>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>P.S: Они хоть бы сайты научились делать, манивиннеры хреновы

F>По ходу Opera — единственный браузер, который почти нормально из зкоробки всё отрисовал, включая вышеупомянутую "карусель".

см. выше.

F>А вообще как-то не сильно смешно

мне тоже

Здравствуйте, kochetkov.vladimir, Вы писали:

L>>Оперы и прочей экзотики сроду не держал, проверить не смог.

KV>А зря. Как уже заметили выше, опера — единственный из этих 4 браузеров (если брать их последние версии), в котором все работает из коробки.

Вот это не понял. Что зря? Зря не держу? Да на что она мне сдалась? И что работает из коробки? XSS? Дык в FireFox тоже работает .


L>>2. kochetkov.vladimir очень не ленивый человек;

KV>Я очень ленив. Если бы я не был ленив, то эта ссылка работала бы везде, кроме хрома >= 4 и фокса с установленным noscript. Я серьезно.

Ну да, как же. Только очень не ленивый человек ищет возможности для XSS на всех попадающихся сайтах, даже не сайтах лохотронов, коих в сети не сосчитать.

L>>3. FireFox не только тормозное поделие, но еще и дырявое, как решето;

KV>Ну, это ты зря. Функционал, который встраивается в других броузерах прямо в движок, они отдали на откуп расширениям, только и всего. Другое дело, что им следовало бы поставлять с фоксом тот же noscript в конфигурации с отключенной блокировкой выполнения активного содержимого, но с включенным фильтром тех атак, которые он умеет детектить. Цены бы тогда фоксу не было

Ну, в таком случае все браузеры невероятно надежны. Просто функционал, который в Хроме встраивается прямо в ядро, они отдали на откуп антивирусам, только и всего.
Нет уж, отдавать расширениям на откуп можно всякие удобства, красивости и ненужности. А если для прикрытия дыр нужен плагин — это, извините, решето.

L>>4. Бедным хацкерам, должно быть, очень тяжело приходится: не каждого заставишь так много телодвижений совершить;

KV>См. п.2 Я потратил на все это около 10-15 минут. Хакер, планирующий XSS-атаку на какой-либо популярный ресурс (например, с целью формирования ботнета) тратит на вылизывание своего payload'a до нескольких недель. И, как показывает практика, телодвижений зачастую, вообще ни от кого не требуется.

Опять непонятно. Скажем, в моем случае: упомянутому хакеру придётся заставить меня запустить фокс и отключить NoScript — что для незнакомого ресурса практически невыполнимо, а даже если и удастся, ничего у меня утащить не получится: я фоксом никуда не хожу, никаких кук там нет.
С IE та же самая история, и, кстати, успешная атака на него так и не продемонстрирована, но тебе виднее.

L>>5. Улыбающимся здесь

Автор: kochetkov.vladimir
Дата: 31.01.10

товарищам следует выразить сочувствие: они используют FireFox (или какое-то другое дырявое чудо).

KV>Может они используют другие браузеры и улыбаются от радости, что у них все ок?

Не знаю, не знаю. Я-то сначала ткнул в ссылку и ничего не увидел. Сразу бы дальше пошёл, если бы не улыбающиеся товарищи: они же что-то заметили. Пришлось на ссылку внимательно посмотреть, после чего искать способ выстрелить себе в ногу.

Здравствуйте, Laurel, Вы писали:

L>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>По моему, получилось веселее, чем у VEAPUK'a, не находите?

L>Чтобы посмотреть на результаты твоих трудов, пришлось приложить немало усилий.

L>Chrome — молча не сработало.

Chrome 3.0.195.38 — карусель работает

[]

KV>По моему, получилось веселее, чем у VEAPUK'a, не находите?
Опера последняя показала карусельку, IE вырезал.


Поясни в чём суть то. Я вне контекста так что не понял смысла поста

Здравствуйте, Laurel, Вы писали:

L>Chrome — молча не сработало.
L>IE8 — сказал "Internet Explorer has modified this page to help prevent cross-site scripting". Как отключить не нашел.
L>Пришлось запускать Тормозиллу. В ней оказался установлен плагин NoScript, который, по его собственному выражению "отфильтровал XSS-атаку". Только отключив плагин и перезапустив FireFox, смог наблюдать карусель.
L>Оперы и прочей экзотики сроду не держал, проверить не смог.

Опера 9 — полет нормальный. В смысле всякая хрень тоже по страничке крутится

Здравствуйте, Константин Л., Вы писали:

L>>Chrome — молча не сработало.
КЛ>Chrome 3.0.195.38 — карусель работает

А, простите, где ж вы этот раритет взяли? Стабильная ветка — 4, девелоперская 5. У меня девелоперская, чего и вам советую.

Здравствуйте, Laurel, Вы писали:

L>Здравствуйте, Константин Л., Вы писали:

L>>>Chrome — молча не сработало.
КЛ>>Chrome 3.0.195.38 — карусель работает

L>А, простите, где ж вы этот раритет взяли? Стабильная ветка — 4, девелоперская 5. У меня девелоперская, чего и вам советую.

как где? поставил с год назад. пишет, что у меня последняя версия

Здравствуйте, Laurel, Вы писали:

KV>>Я очень ленив. Если бы я не был ленив, то эта ссылка работала бы везде, кроме хрома >= 4 и фокса с установленным noscript. Я серьезно.
L>Ну да, как же. Только очень не ленивый человек ищет возможности для XSS на всех попадающихся сайтах, даже не сайтах лохотронов, коих в сети не сосчитать.

Ну надо же как-то свой уровень поддерживать. Программеры ведь тоже этюды любят решать? Вот и это типа мини-этюда

Не только XSS, кстати. Просто про остальные я в паблик не пишу

KV>>Ну, это ты зря. Функционал, который встраивается в других броузерах прямо в движок, они отдали на откуп расширениям, только и всего. Другое дело, что им следовало бы поставлять с фоксом тот же noscript в конфигурации с отключенной блокировкой выполнения активного содержимого, но с включенным фильтром тех атак, которые он умеет детектить. Цены бы тогда фоксу не было
L>Ну, в таком случае все браузеры невероятно надежны. Просто функционал, который в Хроме встраивается прямо в ядро, они отдали на откуп антивирусам, только и всего.
L>Нет уж, отдавать расширениям на откуп можно всякие удобства, красивости и ненужности. А если для прикрытия дыр нужен плагин — это, извините, решето.

Для меня важен конечный результат. Если тот же уровень безопасности достигается установкой одного-двух плагинов, то какая разница, где и как это реализовано? Хром представляется мне безопаснее фокса, но не потому что у него вынесено в плагины то, что у хрома находится в ядре.

Кстати, noscript прекрасно справляется с активными XSS, в хроме такого функционала нет ни в ядре, ни среди расширений (В фильтре IE8 кстати тоже)

KV>>См. п.2 Я потратил на все это около 10-15 минут. Хакер, планирующий XSS-атаку на какой-либо популярный ресурс (например, с целью формирования ботнета) тратит на вылизывание своего payload'a до нескольких недель. И, как показывает практика, телодвижений зачастую, вообще ни от кого не требуется.
L>Опять непонятно. Скажем, в моем случае: упомянутому хакеру придётся заставить меня запустить фокс и отключить NoScript — что для незнакомого ресурса практически невыполнимо,

В случае активной XSS — хватит и зайти на незнакомый ресурс из хрома.

L>а даже если и удастся, ничего у меня утащить не получится: я фоксом никуда не хожу, никаких кук там нет.

Кража кук — не самое страшное (и не самое распространенное на сегодняшний день) применение XSS'ов. Недавно попадалась на глаза статистика, что около 40% ботнетов формируются через эксплуатацию уязвимостей в броузере посредством XSS.

L>С IE та же самая история, и, кстати, успешная атака на него так и не продемонстрирована, но тебе виднее.

Теперь уже не виднее (пока), ибо, как оказалось, дырка в IE через которую можно были бы обойти xss-фильтр была закрыта буквально на днях: http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx , и теперь набор регулярок для искажения подозрительного содержимого звездочками сильно подрос:

C:\Users\VKochetkov>findstr /C:"sc{r}" \WINDOWS\SYSTEM32\mshtml.dll|find "{"

РРРРРР{(v|(&[#()\[\].]x?0*((86)|(56)|(118)|(76));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(b|(&[#()\[\].]x?0*((66)|(42)|(98)|(62));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(s|(&[#()\[\].]x?0*((83)|(53)|(115)|(73));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(c|(&[#()\[\].]x?0*((67)|(43)|(99)|(63));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*{(r|(&[#()\[\].]x?0*((82)|(52)|(114)|(72));?))}([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(i|(&[#()\[\].]x?0*((73)|(49)|(105)|(69));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(p|(&[#()\[\].]x?0*((80)|(50)|(112)|(70));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(t|(&[#()\[\].]x?0*((84)|(54)|(116)|(74));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(:|(&[#()\[\].]x?0*((58)|(3A));?)).}

РРРРР{(j|(&[#()\[\].]x?0*((74)|(4A)|(106)|(6A));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(a|(&[#()\[\].]x?0*((65)|(41)|(97)|(61));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(v|(&[#()\[\].]x?0*((86)|(56)|(118)|(76));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(a|(&[#()\[\].]x?0*((65)|(41)|(97)|(61));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(s|(&[#()\[\].]x?0*((83)|(53)|(115)|(73));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(c|(&[#()\[\].]x?0*((67)|(43)|(99)|(63));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*{(r|(&[#()\[\].]x?0*((82)|(52)|(114)|(72));?))}([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(i|(&[#()\[\].]x?0*((73)|(49)|(105)|(69));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(p|(&[#()\[\].]x?0*((80)|(50)|(112)|(70));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(t|(&[#()\[\].]x?0*((84)|(54)|(116)|(74));?))([\t]|(&[#()\[\].]x?0*(9|(13)|(10)|A|D);?))*(:|(&[#()\[\].]x?0*((58)|(3A));?)).}

РРРРРРР{<st{y}le.*?>.*?((@[i\\])|(([:=]|(&[#()\[\].]x?0*((58)|(3A)|(61)|(3D));?)).*?([(\\]|(&[#()\[\].]x?0*((40)|(28)|(92)|(5C));?))))}

РРРРРР{[ /+\t\"\'`]st{y}le[ /+\t]*?=.*?([:=]|(&[#()\[\].]x?0*((58)|(3A)|(61)|(3D));?)).*?([(\\]|(&[#()\[\].]x?0*((40)|(28)|(92)|(5C));?))}

{<OB{J}ECT[ /+\t].*?((type)|(codetype)|(classid)|(code)|(data))[ /+\t]*=}

{<AP{P}LET[ /+\t].*?code[ /+\t]*=}

Р{[ /+\t\"\'`]data{s}rc[ +\t]*?=.}

РР{<BA{S}E[ /+\t].*?href[ /+\t]*=}

РР{<LI{N}K[ /+\t].*?href[ /+\t]*=}

{<ME{T}A[ /+\t].*?http-equiv[ /+\t]*=}

{<\?im{p}ort[ /+\t].*?implementation[ /+\t]*=}

Р{<EM{B}ED[ /+\t].*?SRC.*?=}

Р{[ /+\t\"\'`]{o}n\c\c\c+?[ +\t]*?=.}

{<.*[:]vmlf{r}ame.*?[ /+\t]*?src[ /+\t]*=}

Р{<[i]?f{r}ame.*?[ /+\t]*?src[ /+\t]*=}

РРР{<is{i}ndex[ /+\t>]}

РР{<fo{r}m.*?>}

Р{<sc{r}ipt.*?[ /+\t]*?src[ /+\t]*=}

Р{<sc{r}ipt.*?>}

РРР{[\"\'][ ]*(([^a-z0-9~_:\'\" ])|(in)).*?(((l|(\\u006C))(o|(\\u006F))({c}|(\\u00{6}3))(a|(\\u0061))(t|(\\u0074))(i|(\\u0069))(o|(\\u006F))(n|(\\u006E)))|((n|(\\u006E))(a|(\\u0061))({m}|(\\u00{6}D))(e|(\\u0065)))).*?=}

РРРР{[\"\'][ ]*(([^a-z0-9~_:\'\" ])|(in)).+?(({[.]}.+?)|({[\[]}.*?{[\]]}.*?))=}

{[\"\'].*?{\)}[ ]*(([^a-z0-9~_:\'\" ])|(in)).+?{\(}}

РРР{[\"\'][ ]*(([^a-z0-9~_:\'\" ])|(in)).+?{\(}.*?{\)}}

раньше было гораздо меньше

Но спасиб, теперь есть чем заняться на досуге

KV>>Может они используют другие браузеры и улыбаются от радости, что у них все ок?
L>Не знаю, не знаю. Я-то сначала ткнул в ссылку и ничего не увидел. Сразу бы дальше пошёл, если бы не улыбающиеся товарищи: они же что-то заметили. Пришлось на ссылку внимательно посмотреть, после чего искать способ выстрелить себе в ногу.

Ну ок, в следующий раз постараюсь сделать так, что было достаточно ткнуть в ссылку

Здравствуйте, Tom, Вы писали:

KV>>По моему, получилось веселее, чем у VEAPUK'a, не находите?
Tom>Опера последняя показала карусельку, IE вырезал.
Tom>Поясни в чём суть то. Я вне контекста так что не понял смысла поста

Смысл в том, что на том сайте есть пассивная (отраженная) XSS-уязвимость, благодаря которой, твой браузер выполняет встроенный в ссылку js-код, закручивающий в карусель все изображения со страницы

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Сабж

KV>По моему, получилось веселее, чем у VEAPUK'a, не находите?

KV>P.S: Они хоть бы сайты научились делать, манивиннеры хреновы

Konqueror 4.3.5 карусель показал . Но какова вероятность с ним попасть в бот нет или лишится паролей из kwalet — . Надо будет багу записать.

Здравствуйте, Воронков Василий, Вы писали:

ВВ>Опера 9 — полет нормальный. В смысле всякая хрень тоже по страничке крутится

Опера 10 — то же самое.

Здравствуйте, dr.Chaos, Вы писали:

DC>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Сабж

KV>>По моему, получилось веселее, чем у VEAPUK'a, не находите?

KV>>P.S: Они хоть бы сайты научились делать, манивиннеры хреновы

DC>Konqueror 4.3.5 карусель показал . Но какова вероятность с ним попасть в бот нет или лишится паролей из kwalet — . Надо будет багу записать.

а где здесь бага?