XSS cheat sheet
Zkontrolujte si web, jestli v něm nemáte nejznámější bezpečnostní díry...
Od doby, kdy jsem na loňském WebExpu viděl prezentaci Rasti Turka na téma "Zranitelnost a clickjacking" nevěřím už žádnému webu. :) Když se před lety začalo o XSS hovořit, říkal jsem si: "Proboha, co by mi mohl asi tak JavaScript udělat, he?" No, mohl... Od nevinných žertíků typu "změny hesla" a "zapnutí webkamery" přes krádeže identity až po krádeže peněz. A protože nejjistější chování na webu představuje "opasek a kšandy" (tedy několikanásobné jištění), tak používám i NoScript (a budím tím pravidelně úžas: "Cože, ty máš zakázaný JavaScript? A proč?").
Pokud vyvíjíte weby a ještě jste nečetli XSS Cheat Sheet, tak to urychleně napravte. I když se vám zmíněné příklady možná budou zdát jako srandičky, které "tak maximálně někoho někam přesměrují", tak si uvědomte, že jde pouze o začátek, o "díru", kteoru se bez problémů protáhne i větší prevít.
Včera jsem objevil XSS Prevention Sheet - takový soupis "předletové kontroly", který by si měl každý autor webu projít jako takovou základní mantru. Uložte si ji do Oblíbených a projděte si jej pokaždé, když vyvíjíte něco, co bude na webu.
Komentáře
xss
je az prekvapive, kolik webu je v tomhle ohledu deravych, at uz pro XSS nebo SQL injection. jedna se hlavne o "custom made" weby, opensource skripty typu wordpress/drupal jsou jiz dnes pomerne bezpecne. neni to tak davno co jsem vicemene nahodou prisel na zpusob pridani stovek hlasu na linkuj.cz...
pravdu mas. nechcem hodit
pravdu mas. nechcem hodit cislo, ale podla mna predstavuje nieco okolo 90% webov vo svete, ktore obsahuju aspon niektoru z uz objavenych a dostatocne popisanych zranitelnosti. uz len v google je objavenych zopar denne, ci uz samotnymi pracovnikmi, alebo znudenymi huntermi. clovek by az neveril kolko toho moze clovek najst na velmi dolezitych weboch. sam som takmer po roku fungovania twitteru nasiel dalsiu xss. dodnes twitter neporiesil clickjacking, atd. tieto zranitelnosti sa raz seredne vypomostia, hlavne ak sa spoja s velmi zaujimavym objavom, ako napriklad teraz pdf a xls 0day, ktore dokazu spustit kod. k tomu este kvalitny IE a rozsirit dalsi sikovny botnet je otazka minut.
ani martinom spominany xss sheet nie je riesenim, chyba tam strasne vela veci, ktore budu pridavane postupne. odporucam inspirovat sa tymi, ktori bezpecnost beru vazne a proti tymto zranitelnostiam aktivne bojuju, vid napr. mozilla a jej open-source AMO
http://micropipes.com/blog/2009/02/23/how-addonsmozillaorg-defends-again...
je tam skutocne krasne popisane, ako v php zabranit XSS a to na vsetkych urovniach. mnohokrat sa totizto podcenuje kodovanie, potom je vacsina ochran uplne zbytocna.
Já to nebral jako řešení, já
Já to nebral jako řešení, já to prezentoval jako takové "nezbytné minimum". Když si rozdělíš těch svých 90% zranitelných webů, tak bych řekl, že naprostá většina bude zranitelná těmi pěti nejznámějšími způsoby, co jsou v tom dokumentu vyjmenované.
pravda. drviva vacsina je
pravda. drviva vacsina je zarucene zranitelna niektorym zo spominanych sposobov. nechcel som degradovat tvoje odporucanie, len ho trosku rozsirit aj pre tych, ktori by ho citali a zaujimali sa o viac informacii.
Však ano... Ale znáš to sám:
Však ano... Ale znáš to sám: Při dnešním stavu vývoje nemůžeš na lidi, zvyklé psát v PHP4 ("Jaký $_GET? Vždyť mám parametry v proměnných!" a "Uvozovky neřeším, to se nějak porovná v databázi") vychrlit 60 naprosto nezbytných bezpečnostních zásad - to tě pošlou do rici. Je třeba začít zvolna: Pět naprosto zásadních pravidel.
Zase platí 80-20: 80% zranitelných webů je děravých některým z těch 20% známých způsobů. :)