Aplikacje internetowe

Bełdziowe spojrzenie na aplikacje internetowe

I znowu Onet

Wstępniak

Nie jest to pierwsza notka o błędach portalu Onet.pl na moim blogu. Wcześniej pisałem o błędach w notce Książkowe błędy. Jakby nie patrzeć to od tamtego czasu minęło prawie pół roku, a poprawki nie widać.

Błędy

W skład portalu Onet.pl wchodzi wiele serwisów. Jedne z nich są małe inne duże, jednak jest coś co je łączy. Jest to mianowicie podatność na XSS.

W tej notce skoncentrujemy się głównie na serwisie związanym z komunikatorem Skype. Jak można zauważyć praktycznie żadne dane pobierane od użytkownika nie są filtrowane, dzięki czemu mamy możliwość wstrzyknięcia dowolnego kodu działającego po stronie klienta.



XSS w polu do podania kodu. Wystarczy w nim wpisać:
"><h1>Nie podam kodu bo siê wstydzê</h1>

i mamy:

XSS w generatorze SkypeWeb. Wystarczy w nim wpisać:

"><h1>jaki¶ napis</h1>

i mamy:

Tak jak wspominałem większe i większość serwisów wchodzących w skład Onetu jest podatnych na XSS. Poniżej kilka screenów z serwisu dla kobiet.

Przeniesienie na inną stronę

Jak już wiadomo dane przekazywane do serwerów Onetu nie są filtrowane tak więc możemy dokonać wstrzyknięć własnego kodu.

Przykład wstrzyknięcia swojego kodu JS w oryginalny kod:

oryginalny link:
http://magia.onet.pl/2843,2689,214,horoskop.html?spin=9751

zmodyfikowany:
http://magia.onet.pl/2843,2689,214,horoskop.html?spin=9751; document.location.href="http://www.beldzio.com/

Po wejściu na stronę poprzez zmodyfikowany link zostaniemy przeniesieni na mój blog.

Poprawki

Po miesiący błędy zostały załatane. Do poprawek doprowadziła publikacja błędów w serwisach IDG.pl

Warto zobaczyć


Tagi: , , ,
Kategoria: Bezpieczeństwo, BugTraq


6 komentarzy

  1. USandA napisał(a):

    Możesz też napisać o wyszukiwarce na bashu: http://bash.org.pl/search

  2. HUBI napisał(a):

    Beldziak nie szalej :P

  3. dawids2411 napisał(a):

    Tylko że to nie działa :( Możę jusz naprawili ten błąd

  4. Bełdzio napisał(a):

    Już dawno ;-) => http://bezpieczenstwo.idg.pl/news/106112.html Piszę właśie nową wersje bloga i nie mam czasu na aktualizacje notek,ale niedługo to się zmieni ;-)

  5. blackmaul napisał(a):

    Patrzymy, a tu Bełdzio nie zabezpieczył własnego Bloga. :D

  6. Michał `Bełdzio` Ławicki napisał(a):

    A po co? jak ktoś będzie miał znaleźć buga to go znajdzie :)

Dodaj komentarz