 |
Форум вебмастеров на AlfaSpace.NET / The Matrix Has You / XSS в ReloadCMS |
| Автор | Сообщение |
| Андрей Алексеевич  2125 |
# Дата: 25 Фев 2006 05:52 ° Поправил: Андрей Я писал авто-замену псевдо-тегов для себя и наткнулся на то, что иногда слабая проверка символов в replacement'ах ведёт к тому, что можно вставить javascript код в страницу, а в некоторых случаях даже авто-выполнить его автоматически. Я посмотрел как это выполнено в других движках, в том числе и в ReloadCMS, и оказалось что в последнем идёт слабая обработка url до и после ://. А само :// может являтся частью правильного javascript'a javascript:// alert(); Но перенос строки в урл запрещён, но запрещён только как \r\n|\n но не как %0D, следовательно: javascript://%0D%61%6c%65%72%74%28%29%3b такой код движок сьест, и при нажатии на такую ссылку выскочит alert(), но ссылка с target="_blank", а это значит что cookie не дернуть, конечно если не за-экранить target: [урл]javascript://%0D%61%6c%65%72%74%28%29%3b%0D//[имг]http://a.gif[/и мг][/урл] Вот теперь куку можно дёрнуть, но опять-же, много мусора вокруг, типа " tagret="_blank", но и этот мусор можно убрать с помощью тега [google=""], где после равно разрешены все символы. Но заставить админа пройти по ссылке не так то просто, так что адекватнее вставить этот код в img [имг]javascript://%0D%61%6c%65%72%74%28%29%3b%0D//a.gif[/имг] В некоторых операх и в IE этот код выполнится, но не в Огнелисе. Но кроме всего этого остаются варианты с совмесным использованием [google="(.*?)"] Экраном через [урл], с помощью чего добавить например onload="alert()", вставить туда код, дёргающий куки, подставить эти куки себе и войти как админ на сайт. Кстати XSS очень распространён, т.к никто не задумывается что можно написать вроде этого javascript:%61%6c%65%72%74%28%27%20%20%20%58%53%53%21%27%29%3b |
| SpiriTzzz Темный джедай  1384 |
# Дата: 25 Фев 2006 06:06 white_pawn в релоаде пробовал? у мну не прокатило... |
| Андрей Алексеевич 2125 |
# Дата: 25 Фев 2006 06:19 ° Поправил: Андрей SpiriTzzz Я тебе чють намусорил )) 
То, что эти ссылки не работают в Opera, не удивляйтесь, просто я конвертировал не верно, для оперы нужно пробел как + а не как %20 если это javascript Упс, опера урбала // после : в ссылке... Надо еще %2f%2f добавлять )) |
| SpiriTzzz Темный джедай 1384 |
# Дата: 25 Фев 2006 06:44 white_pawn хых, тока чур мою куку не трогать |
| SpiriTzzz Темный джедай 1384 |
# Дата: 25 Фев 2006 06:45 ps^ почистиль  на всякий |
| SpiriTzzz Темный джедай 1384 |
# Дата: 25 Фев 2006 07:57 DruidVAV, 25.02.2006 14:01 : xss пофиксил |
| Андрей Алексеевич 2125 |
# Дата: 25 Фев 2006 08:01 Оперативна. |
![[Valid RSS]](valid-rss.png "Validate my RSS feed")