zorgrhrd6 авг 2012 в 11:32

Пассивная XSS на mail.ru и готовый exploit

3 мин

14K

Информационная безопасность *

Из песочницы

+71

Комментарии 26

ilyaplot 6 авг 2012 в 11:43

Вот никак не пойму наших «девелоперов».
Разве сложно сделать универсальный инструмент для защиты от XSS в полях ввода? Мне кажется, это сущие пустяки, однако, со времен dial-up постоянно натыкаюсь на новые посты типа «XSS в %projectname% решето».
Видимо, нравится им набирать в разработчики школоту и делать абсолютно все руками.

ertaquo 6 авг 2012 в 12:03

Возможно, просто забыли сделать вызов этой функции. Разработчики ведь тоже люди :-)

ilyaplot 6 авг 2012 в 13:13

Значит им не очень удобно работать, раз они могли такое забыть.

spacediver 6 авг 2012 в 13:59

Может быть, на эту тему их никто не пинает и не лишает премий?.. Мало ли, что неудобно, если без этого решето. Я вот тоже до недавнего времени не задумывался о SQL-инъекциях, а когда прокачал свой моск — не могу без ужаса смотреть на сопровождаемый ныне код. Некоторые знания лишают сна, и заслуженно.

youlose 6 авг 2012 в 12:40

Хорошо, вы разработчик?

Так почему не сделали универсальный инструмент для защиты от XSS? =)

ilyaplot 6 авг 2012 в 13:01

В моем наборе инструментов есть класс, позволяющий привязать к полю определенный список правил. Если таких правил нет в классе, я добавляю новые.

CKOPOBAPKuH 6 авг 2012 в 13:26

а можете ли вы, например, забыть привязать к полю все нужные правила?

borisko 6 авг 2012 в 13:51

Это решается очень просто — достаточно привязывать не запреты, а разрешения.

z3apa3a 6 авг 2012 в 16:38

А если вы привяжете все нужные разрешения, чтобы работала определенная фича — означает ли это, что не будет XSS?

borisko 6 авг 2012 в 17:59

Скорее всего, да. Всё зависит от того, в какой степени Вы пользуетесь ЯП.

У меня (C++) используется класс SecureString, который шаблонно наследуется от ряда стратегий, например, QuotesStrategy и HtmlStrategy. Каждая стратегия может быть Throw, Skip, Escape, Ignore. В этих случаях при встрече запрещенного символа будет соответсвенно либо брошено исключение, либо символ не попадёт в результирующую строку, либо будет заэскейплен, либо будет пропущен в результат. Вместе с Qt и implicit sharing, всё проверяется и приводится к нужным типам почти мгновенно, так как нет лишних копирований, а только один проход при присваивании/другом изменении.

При этом в HTML-вывод пользователю не может попасть строка, у которой HtmlStrategy — это Ignore, что гарантирует система приведения типов во время компиляции.

maxic 7 авг 2012 в 20:22

Во всем виноваты не только школота, но и дидлайн

Tairesh 6 авг 2012 в 11:48

Это же Mail.RU

Namolem 6 авг 2012 в 11:56

Действительно… Отдыхаю на проекте otvet.mail.ru… Если бы не большая посещаемость, ноги бы моей там не было. На сайте уже несколько лет не видно никаких изменений в плане нового функционала/исправляемости багов =(

vadymg 6 авг 2012 в 15:54

otvet.mail.ru? Вы шутите? ;)

Namolem 6 авг 2012 в 17:09

К сожалению, серьезно. Как говорится, ежики плакали, кололись…

Deffe 6 авг 2012 в 17:42

Посоветуйте альтернативный сервис с большим количеством пользователей.

Namolem 6 авг 2012 в 17:44

Пробовал от гугла, но пользователей там на глаз намного меньше.
Других не нашел…

Deffe 7 авг 2012 в 08:30

А еще на гугл ВиО последнее время анонимусы расплодились и учиняют беспредел. 80% вопросов от них и почти все из них какой-нибудь бред.

Gangsta 6 авг 2012 в 12:34

треш-холдинг (с) Дуров
тэг «РЕШЕТО» поставлен не зря)

smart 6 авг 2012 в 13:19

Большое спасибо автору за сообщение о проблеме. Мы всегда просим сообщать нам о таких дырках заранее, и в данном случае zorgrhrd поступил совершенно правильно, что написал нам. То, что проблема не была закрыта сразу, чисто наша вина. В ситуации внутри разобрались, выводы сделали, надеюсь больше таких важных сообщений служба поддержки не пропустит. И да, дырку конечно закрыли.