[Owasp-turkey] Gizli XSS'ler

Onur YILMAZ contact at onuryilmaz.info
Wed Oct 21 17:17:32 EDT 2009


Selamlar,

 

Eğer zaten saldırganın hedefinde web uygulamasını kullanan kullanıcılardan
ziyade web uygulamasında yüksek mertebede hak sahibi olan kullanıcılar ya da
web uygulamasının kendisi varsa, mutlaka böyle bir atağı da deneyecektir /
denemesi gerekir.

 

Ek olarak böyle bir istek göndermek yeterli midir ? bence değil. Verdiğiniz
iletişim formu senaryosu üzerinden devam edersek, eğer yönetim panelinde
iletişim formundan gelen mesajlar direkt olarak sayfaya yazdırılmıyor ise ya
da bir input (textbox, kutucuk) içine yazdırılıyorsa ilgili linke herhangi
bir request gitmeyeceğinden, yanlış bir kanıya kapılmak mümkün olacaktır.

 

Ki özellikle ziyaretçi defteri uygulamalarında, developerlar, kullanıcılar
zamandan kazansın diye, deftere eklenen mesajları yönetim panelinde Textbox
ya da bir text editor de göstererek, ilgili değişiklilerin kolayca
yapılabilmesini ve hızlıca onay verilebilmesini sağlamaktadırlar. O yüzden
tek bir mesaj ile açığın olup olmadığını tespit etmek kolay olmayacaktır.
Farklı code`lar enjekte edilmesi gerekecektir.

 

İyi çalışmalar.

 

From: owasp-turkey-bounces at lists.owasp.org
[mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Mesut Timur
Sent: Wednesday, October 21, 2009 7:01 PM
To: Deniz CEVIK
Cc: OWASP-Turkey
Subject: Re: [Owasp-turkey] Gizli XSS'ler

 

 
Selamlar,
 
Ben yaklasik 2 yil kadar once ayni konuda blogda yazmistim, ama gecenlerde
blog uctugu icin o yazi da tarih olmustu.
 
Simdi arsivlerden cikarip tekrar ekledim : http://www.h-labs.org/blog/?p=47
 
Isimlendirme konusunda Blind XSS diye dusunmustum :)


Mesut TİMUR
http://www.h-labs.org <http://www.h-labs.org/>  
GYTE Bilgisayar Mühendisliği

Türkçe Web Uygulaması Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey





 
> Date: Wed, 21 Oct 2009 18:28:24 +0300
> From: denizcev at gmail.com
> To: owasp-turkey at lists.owasp.org
> Subject: [Owasp-turkey] Gizli XSS'ler
> 
> Selam arkadaşlar,
> 
> Bildiğiniz üzere genel olarak XSS'ler 3 kategoriye ayrılıyor, Stored,
> Reflected ve Dom-Based. Bu XSS tiplerini webapp scanner yazılımları
> ile bulmak oldukça kolay. Ancak bunlar dışında kullanıcı girdisini
> alan fakat girilen bilgileri görüntülemeyen, çıktı olarak "bilgiler
> elimize ulaştı, eyvallah..." gibisinden mesajlar üreten uygulamalar da
> belkide yukarıdakilerden daha ciddi sıkıntılar oluşturabilecek XSS
> saldırılarından etkilenebiliyor.
> 
> Özellikle yazılımcılar kullanıcı girdilerinden çıktı üreten sayfalarda
> XSS kontrollerini etkin bir şekilde yapmasına rağmen, bu tip
> sayfalarda bu kontrolleri yapmayı göz ardı edebiliyorlar. İletişim
> formları, bize ulaşın gibi formlar aracılığı ile yollanan bilgiler bir
> operator tarafından yine browser ile erişilen bir arabirimle
> işleniyorsa, operator browserinde istenilen scriptleri çalıştırmak
> mümkün olabilir. Uygulamalardaki bu tip problemleri ise otomatik
> tarama araçları ile tespit etmek malesef mümkün değil. Üstelik
> genellikle yerel ağa erişim, cms arabirimine erişim cookilerini
> toplama gibi ciddi sorunlar ile karşılaşılabiliyor.
> 
> Bu tip problemleri tespit etmek için <SCRIPT
> SRC="http://www.site.com/xss.jpg"></SCRIPT> gibi ifadeleri parametre
> değeri olarak yollayıp, kendi web sitemizin loglarına bakarak erişim
> olup olmadığını kontrol edip, ilgili uygulamanın XSS açığından
> etkilenip etkilenmediğini belirleyebiliriz. Benzer şekilde XSS shell
> açmakda mümkün olabilir. :=) Bu xss yöntemi bir stored xss tipi olarak
> nitelendirilebilir sanırım ama gizli xss diye adlandırmak daha hoş
> duruyor.
> 
> Son günlerde bu problemlerle çok sık karşılatığım ve göz ardı
> edildiğini gördüğüm için sizlerle paylaşmak istedim.
> 
> İyi Çalışmalar.
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey

  _____  

Hotmail: Free, trusted and rich email service. Get it
<http://clk.atdmt.com/GBL/go/171222984/direct/01/>  now.

-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20091022/737b7ffb/attachment.html 


More information about the Owasp-turkey mailing list