Идите нафиг, я домой! — Эрик Теодор Картман Мне не хотелось начинать с этого, и не с такого количества букв, но.Теги: #xss #сказка #Markdown #информационная безопасностьЯ расскажу вам небольшую рождественскую сказку или историю, а может быть, даже и правду.
На католическое Рождество Санта дал одному мошеннику уязвимость на большом языковом ресурсе из разряда: мы знаем, что нам нужно, но почему-то забыли, как и открытый svn, только XSS В уценка .
Прежде чем продолжить, сделаю небольшое отступление относительно структуры статьи.
Я разделил его на три части: практическую, обзорную и философскую, а для большей читабельности и загадочности ввел еще переменные: Икс — языковая служба ЧАС - главный на X d ∈ D — команда разработчиков X или просто D С — Санта-Клаус, который в прошлом году просто осыпал северокорейских хакеров подарками З - уязвимость, она же подарок, она же рождественское чудо Да — пользователь, которому S подарил Z
Часть первая, практическая
Автор не знает по какой причине и по каким причинам Д Я решил использовать это на форуме.Икс уценка, при этом полностью доверяя пользователям, это может быть, конечно, основная часть экосистемы, может быть желание угодить пользователям, а может быть и простая лень.
Здесь возможны только догадки, и я думаю, мы никогда не узнаем от них ответа.
Рождество наступило, и в прошлом году я был хорошим мальчиком Да нашел это под деревом З от С «Что за…» воскликнул Да , но, как всякий ребенок, он решил не заморачиваться по поводу своего восклицания, а сразу поиграть с З на Икс и каково же было его удивление, когда банальная ссылка [test](javascript:alert(’xss’)) показала ему «XSS».
«Чудо?! Подарок!», скажете вы, да это можно называть по-разному и то же, что невнимательность, но придерживаясь этического взлома Да все же решил поделиться своим подарком c Д и предупредить других пользователей Икс о таком чуде, которое может привести к чудесам более серьезного масштаба, включая кражу их данных, спам или превращение их вычислительного устройства в один из узлов очередного ботнета или в тыкву.
Но в связи с тем, что Д , по неизвестной нам причине скрыли от русскоязычного сообщества волшебную кнопку «поддержка» для прямого контакта с ними, Да Я решил поздравить их на форуме в разделе поддержки для англоязычных пользователей, оставив им приветствие в виде простого оповещения и с просьбой закрыть эту проблему.
Прошел день, Новый год уже был на пороге, но Д никогда не отвечал по поводу З , а за это время парень из Киева, воспользовавшись З , улучшенный функционал Икс , который был удален Д , но по-прежнему пользуется спросом у пользователей, и еще один пользователь из Германии решил проверить возможность: операция невидима для пользователей З используя onmouseover и загрузку изображения.
«Хм», сказал Да , видя, что его сообщение так и не было прочитано Д .
«Может быть, я не там написал», — подумал он и оставил еще одно небольшое сообщение, но уже в русскоязычной части.
Икс о найденном подарке, на что откликнулась девушка О, понимая масштаб чудес, которых можно достичь с помощью З , она предложила другой способ Д , через прямые сообщения на странице своего профиля, полностью разворачивая подарок З кроме здравствуйте Да Еще я разместила на onmousever небольшое поздравление в виде оповещения, но только с «С Новым годом», ведь Новый год, дух Рождества, и только потом написала ЧАС о З , и о чудо Д ответил удалением всех сообщений Да на англоязычной части форума, не трогая русскоязычную часть и выходя Да банальный; Спасибо за обещание.
Скоро исправим.
Но Да этого было недостаточно и тогда он решил спросить ЧАС : "И что Д «Мы удалили все мои предупреждения», на что Х мудро заметил: «Потому что ваш пост приводит к сбою браузера.
Пожалуйста, прекратите писать эти посты, пока мы не решим проблему».
«А как насчет духа Рождества, как регулярное оповещение может привести к самоубийству браузера» — спросите вы, но получать оповещение конечно не приятно, но с Новым годом и вы всегда можете закрыть страницу, но оставим это на произвол судьбы.
ваша совесть ЧАС .
Поэтому я решил сделать это Да , и с чувством выполненного долга он пошел спать с надеждой, что завтра Икс чудеса прекратятся.
На календаре было уже 31 декабря, падал прошлогодний снег, разбудил запах мандаринов и звуки начинающегося безумия на кухне.
Да , его еще не остывшее вычислительное устройство было готово к новым подаркам, но Да Я решил все же проверить это З и как он расстроился, когда узнал, что чудеса продолжаются, но так как прошло всего 8 часов и наверное Д работаю над проблемой Да оставил еще одно поздравление с наступающим Новым годом, только в русскоязычной части, чтобы не путать Д , в виде смайлика, при нажатии на который будет создан объект со ссылкой на клип ABBA «С Новым годом».
Вот что у него получилось в итоге:
Давайте немного отвлечемся от рождественской истории и посмотрим на это послание.{@id=abba} This is *red{@style= color:red;}.*
[some text{@id=test}]( javascript:%76%61%72%20%61%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%6F%62%6A%65%63%74%27%29%3B%61%2E%77%69%64%74%68%20%3D%20%34%32%30%3B%61%2E%68%65%69%67%68%74%20%3D%20%33%31%35%3B%61%2E%64%61%74%61%20%3D%20%22%2F%2F%77%77%77%2E%79%6F%75%74%75%62%65%2E%63%6F%6D%2F%65%6D%62%65%64%2F%33%55%6F%30%4A%41%55%57%69%6A%4D%22%3B%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%42%79%49%64%28%22%61%62%62%61%22%29%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%61%29%3B%61%6C%65%72%74%28%22%54%68%69%73%20%69%73%20%41%42%42%41%21%22%29%3B ) 
Прежде всего нам нужен был контейнер, в который можно было бы добавить тег объекта со ссылкой на клип.
Для этого мы присваиваем основному контейнеру темы идентификатор {@id=abba}, что нетипично для атрибутов на уценке, можете подумать вы, но классический вариант не работал {:#abba}, тогда он нужно было куда-то спрятать код, но перед этим его нужно было закодировать в ссылку, так как парсер обрабатывал кавычки, и знаки больше и меньше, после чего выбиралось изображение со смайлом и по клику В этом случае вызов document.getElementById('test').
click() был приостановлен, поскольку анализатор также обрабатывал пробелы.
Прошло 12 часов и ничего не произошло, З никогда не закрывался, так возмущался Да решил оставить еще одно поздравление в виде простого текста с предупреждением, чтобы пользователи меньше работали на форуме и спросил ЧАС когда Д решит проблему, но в ответ его тему снова удалили, а нештатный модератор попросил об этом Да не написал о проблеме и не предупредил пользователей, так как этим ничего не добиться, опечален Да начал вырезать себя Икс , но вскоре получил сообщение от обеспокоенного пользователя из США, который частично согласился с Да и наконец объяснил, что значит «скоро» ведь автор будет приводить полный текст сообщений от неравнодушного пользователя, чтобы ничего не вырывать из контекста.
М: Это потрясающе, я понятия не имел, что это возможно, но это определенно сработало.Я удалил свой ответ, потому что не хочу побуждать других пробовать это, но вы правы, это довольно серьезно.
Вам следует сообщить о проблеме в службу поддержки (с помощью белой кнопки сбоку экрана) и переместить эту тему на форум по устранению неполадок, чтобы ее с большей вероятностью увидел администратор.
Я также сообщу о проблеме.
М: Я не являюсь частью команды, но полагаю, что они не хотят, чтобы обсуждалась уязвимость, потому что это может привести к тому, что больше людей попытаются ею злоупотребить.От такой уязвимости у пользователей нет другого способа защитить себя, кроме как прекратить использование сайта или отключить JavaScript в своих браузерах.
Ни одно из этих решений не является особенно «хорошим», поэтому, по их мнению, возможно, лучше оставить эксплойт «сдержанным», пока не будет готово исправление.
Я не обязательно согласен с этим рассуждением, но они, очевидно, так решили.
М: «Скоро» не обязательно означает «мгновенно».Прочитав обнадеживающие сообщения, Да удалил все свои темы, пожертвовал свои тугрики, заработанные на курсе, евангелисту Икс за свой русский язык (слог), отключил аккаунт и присоединился к праздничному столу.Хотя это небольшая команда, у них всего несколько разработчиков, и у них есть и другие дела, о которых нужно позаботиться.
Я написал о том, насколько серьезно это было, в моем обращении в службу поддержки, так что, надеюсь, это побудит их расставить приоритеты.
Похоже, что этот эксплойт не очень распространен, поскольку он существует уже давно и еще не было никаких атак.
Надеюсь, ничего не всплывет, пока они не найдут исправление.
сделанный.
Ну и в конце этого рассказа автору хотелось бы процитировать Александра Сергеевича Пушкина, но не сильно меняя его нетленных строк: «Сказка - ! ложь, да в ней намек - добрым молодцам урок.
"
Часть вторая опроса
- Как бы вы пожелали счастливого Нового года пользователям, использующим эту XSS-уязвимость на форуме?
- Что бы вы сделали, если бы вы были разработчиками крупного ресурса, когда перед Новым годом узнали о такой проблеме, и вам следует учесть, что форум доступен и анонимным пользователям в режиме только для чтения?
- И последний вопрос, где бы вы поставили запятую и поставили бы ее в этом предложении: «о эксплоите нельзя сообщить».
Часть третья философская.
О разработчиках Автор не написал о том, что сказал о них Y, иначе это было бы воспринято как жалоба, но из всего сказанного он бы выделил следующую логическую цепочку: если данную проблему невозможно закрыть в течение недели, дают это низкий приоритет, о чем еще речь? разработчики молчат, какие чудеса могут ждать пользователей их сервиса!? И по этому поводу автор хотел бы добавить: «Дерьмо случается».
О пользователях Что больше всего огорчило Y из всей этой истории, так это безграмотность пользователей, особенно в русскоязычной части форума, в отличие от англоязычной части, где пользователи поднимали тему, чтобы разработчики заметили, русскоязычные, наоборот, если бы захотели, минусовали и повторяли: "зачем и кому это надо", но кто-то скажет, что XSS - это несерьезно, а автор сравнил бы это с поцелуем, после которого все только начинается, если конечно вы получить пощечину или удар под дых.
О языковых курсах Никаких претензий или чего-то подобного точно не будет, автор просто приведет цитату Y и несколько пожеланий о том, как бы ему хотелось, чтобы курсы выглядели, возможно, кто-то уже это делал:
Я бы сравнил их с обычной аркадой, которая затягивает, круто, когда все мигает, взрывается, тебе награждают тугриками, они поднимают настроение, в конце упрощают задачу, когда не можешь пройти уровень и тогда в конце появляется заставка с поздравлениями с полным завершением, ты кладешь джойстик, телефон, ноут, в голове крутится только одно: «это было круто», но постепенно эйфория спадает и ты начинаешь замечать, что Домашнее задание не сделано, дом не убран, посуда не вымыта, рыба мертва, а с приобретенными навыками вы можете сказать только пару несвязанных между собой предложений.
- Было бы здорово, например, если бы вы прочитали «Дракулу» Брэма Стокера, в оригинале, и тут же был бы разбор конструкций, ссылки на правила и словарь, а после прочтения следующей главы дали бы тест по тем или иным правилам изложения.
языке, который вы изучаете, тогда предложения не будут выглядеть так, как X, будут такими дикими и вырванными из контекста.
- курсы следует корректировать, но не для упрощения задачи, а для выявления наилучшего способа подачи информации обучающемуся; люди разные; Кому-то легче через текст, кому-то проще через речь, кому-то через изображения и так далее.
- Мы думаем по-русски, так почему же мы вынуждены все время переводить с английского на русский? Может быть, сначала лучше было бы попрактиковаться в обратном переводе с русского на английский, а с английского только пополнять словарный запас, но есть конечно одно но, а переводы с русского на английский не будут стоить ни копейки.
- Согласен с Петровым, что надо сначала выделить особенности и конструкции языка, а потом только начинать учиться, это как с программированием, два курса тянут нас за волосы с высшей математикой, теорией компиляторов, операционных систем, алгоритмов и проектирования шаблоны, а затем мы просто переходим к языкам высокого уровня.
Вывод от автора: Не доверяйте пользователям, иначе они не будут доверять вам.
-
«Раскройте Силу Ebay»
19 Oct, 24 -
Сертификация Scea – Обсудим?
19 Oct, 24
