XSS ölüyor mu?

0
Yns_
Yns_
15 Ağustos 2006 , 1 dakika okuma süresi
PHP 5.2 ile beraber PHP'de setcookie() fonksiyonuna 7.parametre olarak httponly desteği gelmiş.

Httponly çerezlere Javascript ile ulaşılamadığı için xss ataklarının en tehlikelisi olan cookie çalma olayı ortadan kalkıyor.

Şu an tek sorun her tarayıcı tarafından desteklenmemesi, ama yakında bir çok tarayıcı yeni sürümünde bu standartlara uyacaktır tahminimce.IE 7 ile en güvenli şekilde bu özelliği destekliyor, fakat mozilla şaşırtıcı bir şekilde desteklemiyor.
Destekleyen tarayıcılar:
* IE 6.0 SP1 and later - prevents reading, but not over-writing (still allows preset CSRF attacks)
* IE 7.0 - prevents reading and writing - safest
* Safari 1.3 and later - prevents reading
* Opera 8 and later - prevents reading
* Mozilla - not supported
* Firefox - not supported
* IE 5.x for Mac - will actually fail to render the page. Use browser detection to encourage them to migrate to Safari or Firefox once it supports HttpOnly

Bu adreste mozilla tabanlı tarayıcılar için potansiyel çözümler var.

Konu ile ilgili kaynaklar: #1 , #2
Güvenlik
13
Linkedin Facebook Twitter Google plus

Görüşler

belfagor
0
belfagor
Mozillanın desteklememesi tuhaf. Mic bile desteklerken Mozillanın böyle yapması....

Ama eminimki yeni sürümlerde bu desteği görücez.
yilmaz
0
yilmaz
XSS açığı benim doğru dürüst kod yazamamamdan kaynaklanan bir durum değil mi? Bunu artık tarayıcı kodlayan kişiler mi düşünmek zorunda artık?
arsenelupin
0
arsenelupin
Herkes birlikte düşünmek zounda.

Sonuçta kodu yazan kim olursa olsun insan ve dolayısıyla "insani hatalar" her zaman söz konusu olabilir. Elbette gerekli önlemleri alarak xss ve diğer sıkça görülen açıkların üstesinden doğrudan php katmanında gelinebilir, öte taraftan, insani hatalara karşı birden fazla güvenlik katmanının bulunması her zaman tercih edilen bir durum olmalı gibime geliyor.

Yine de itiraz edilecekse, kanımca birden fazla güvenlik katmanı bulunmasının, kod yazan kişiyi zihinsel tembelliğe itmesi ve kişinin "nasıl olsa tarayıcıya takılır" düşüncesiyle yazdığı koda gereken özeni göstermemesi noktasında itiraz edilebilir.
Yns_
0
Yns_
Xss her zaman kod yazarı ile alakalı bir durum olmuyor, tarayıcıların yorumlama farkları yüzünden xss zayıflıkları ortaya çıkabiliyor.Örneğin aşağıdaki kodu IE javascipt olarak çalıştırıyor.

<IMG STYLE="xss:expr/*XSS*/ession(alert('XSS'))">

Projeniz öyle bir proje ki, bazı html etiketlerine izin veriyorsunuz.İçinde IMG'de var..Şimdi elinizde böyle bir veri var, ve buna benzer milyonlarca yorumlama farkından doğan zayıflık olabilir.

Javascript ile ulaşamayacak bir cookie göndermek varken, yukardaki yorumlama farkları için standart değerleri aldıktan sonra beyaz liste oluşturup mu kontrol ederdiniz?
(Biz ikincisini yaptık, yüzlerce satır ekstradan kod yazmak durumunda kalıyorsunuz.)

Şahsen ben tarayıcıları yeterince düşündüm, birazda onlar bizi düşünsün.
anonim
0
anonim
Beyaz liste ve karaliste zaten kullanılması gereken önlemler bana kalırsa.
Diğer taraftan bu tip durumlar için daha kesin çözüm mod_security gibi web uygulamaları için geliştirilmiş ids leri kullanmaktır bence. 2 satırlık bir kuralla hemen hemen bütün XSS saldırılarının önünü kesersiniz.
Yns_
0
Yns_
IE'nin yorumlama farkı olmasa yukarıda bahsettiğim problem karaliste yöntemi ile kolayca çözülebiliyor.

Ama bu konuda iş beyaz liste oluşturmaya gelince elinizde milyonlarca html attribute bulunan bir array'la uğraşmak zorunda kalıyorsunuz..
anonim
0
anonim
Evet beyaz liste biraz zahmetli ama IE olmasa bile dahi güvenlik açısından beyaz liste tercih edilmeli bana kalırsa.

Diğer taraftan baştada söylediğim gibi mod_securty benzeri uygulamalarla sorunu çözmek mümkün ama yalnızca mod_security veya yalnızca dispatcher kullanarak güvenliği tek katmana indirgemiş oluyorsunuz. Tabi bu da aslında risk ve kaynak yönetimi ile ilgili bir konu biraz da...
selam
0
selam
Unutulmamalıdır ki her kod yazan kişinin elinde istediği gibi yönlendirebileceği bir sunucu yada sistem yöneticisi yok. Kaldı ki "yaşasın artık Javascript ile Cookie'lerimi çalamayacaklar" diye form yada benzeri yerlerden gelen veri alanlarını kontrol etmeyi bırakmamalıyız. Hala dünyada eski sürüm tarayıcı kullanan insanlar olacaktır. Bu liste kullanımı uzun bir süre daha devam edecektir hatta etmelidir.
gCg
0
gCg
tarayıcı destekleri bir yana sunucu desteği biraz daha kaygılandırıyor beni. linux sunucuların büyük bir yüzdesinde kullanılan cpanel henüz php4 olduğu için hala sunucuların bir çoğu php4 destekliyor.

php5'e geçiş için daha zaman var gibi gelmekte.
PHP-HuNTeR
0
PHP-HuNTeR
ewet php5 için zaman var gibi gözküyor çünkü Host firmalarının işine gelmiyor o kdr forumu host ederken, php sürümünü değiştirince ortaya çıkan sorunlarla uğraşmak
wookiert-
0
wookiert-
Bu baslik XSS'i cookie calmaktan ibaret sananlarin dustugu bir yanilgidan ortaya cikmis olsa gerek. Bunun disinda, insanlarin javascript konusunda obsesif olmasini ilginc buldugumu ekleyeyim. Tarayicilarda calistirilabilen kod javascriptle kisitli degil. XSS icin Flash objeleri, Java vs. bir cok seyi kullanmak mumkun.

XSS in bence asil tehlikeli oldugu yer stored xss dedigimiz kisim. Kullaniciya sunulan cikti htmlencode edilmedigi surece de bu sorun kolay kolay cozumlenebilecek gibi gozukmuyor.
Yns_
0
Yns_
Insanlar neden okumaktan acizler...
anonim
0
anonim
Pardon, bir sey mi kacirdim? Daha net olabilir misiniz?
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Metasploit artık Rapid7'nin
caiaphas_
23 Ekim 2009, 1 dakika okuma süresi

Uzun zamandan beri hem UNIX hem de WIN32 üzerinde başarı ile çalışan ve tüm otoriteler tarafından da en çok tercih edilen penetrasyon aracı olan Metasploit Rapid7 tarafından satın alındı.

Açık kaynak desteğinin devam edip etmeyeceği Metasploit tarafından yapılan açıklama ile netlik kazandı. Metasploit açık kaynak kod üretmeye devam edecek, bunun yanında Rapid7'nin güvenlik açığı tarama ürünü olan NeXpose ile de entegre edilecek. Habere göre HD Moore dahil pek çok Metasploit geliştiricisinin Rapid7 ekibine katıldığı da ayrıca belirtiliyor. HD bundan sonra güvenlik şefi olarak görevine devam edecek.

Linux´la Erişebilmek, Linux´a Erişebilmek
denizlilikaan
28 Ekim 2003, 1 dakika okuma süresi

Evet abilerim aranızda bana fazla laf düşmez ama yeni keşfettiğim bir kolaylıktan aslında iki kolaylıktan bahsetmek istiyorum

Bir: Geçen hafta sonu değerli bir öğretmenimizin bilgisayarı feci şekilde göçmüştü. Tahmin edersiniz ki MS Win_Me Kullanıyordu.

Makina, Güvenli Kip dahil herhangi bir şekilde açılmayı reddediyordu. Aslında makinayı açıp HDD'yi söküp "Vector Linux yüklü PC"me bağlayıp hocamızın bilgilerini günlük ve yıllık planlarını kurtarabilirdim. (Öğretmenler için Planlar çok önemlidir. Bir de hazırlamak için günlerinizi, gecelerinizi harcadıysanız)

Full Disclosure: Güvenlik Çarkının Değişmez Dişlisi
anonim
23 Temmuz 2003, 4 dakika okuma süresi

Bilgisayar sistemleri varolduğundan beri insanlığa hizmet etmiştir. Gelişimin şimdikine oranla daha hızlı olduğu ve standartların oluşturulmaya başladığı yıllarda bilgiye ulaşmak şimdiki kadar kolay değildi. Varoluş ve standartlaşma süreçlerindeki rekabet, yazılım ve donanım firmalarının ürünlerinin teknik spesifikasyonlarını gizlemesine yol açıyordu. Bu bilgilerin gizlenmesi ise sektörün yol almasını yavaşlattığı gibi önemli bir olgu olan 'Bilgiye ulaşmanın hiç kimse tarafından engellenmemesi gerektiği' prensibine de ters düşüyordu.

Macromedia Flash Player'da Buffer Overflow açığı
crematorium
8 Mayıs 2002, 1 dakika okuma süresi

Macromedia firmasının Flash yazılımının göstericisi olan Flash Player'da bir alan taşırma zaafiyetinin varlığı tespit edildi. Bu zaafiyet sayesinde bir flash animasyonu içeren masum görüntülü bir web sitesi aracılığı ile siteyi ziyaret eden kullanıcıların bilgisayar sistemlerinde istenen komutların işletilmesi mümkün olabiliyor.

Bir efsane: Phrack
sundance
20 Mart 2001, 2 dakika okuma süresi

Hatırlıyorum da ilk Phrack Magazine'i okuduğumda Amiga kulanıyordum. Elemanın teki BlueBox kullanarak yabancı bir BBS`ten indirmişti (Jason of Bronx) Okudum ve bayıldım.

Phrack taaa 1985`te başlamış, temel olarak telefon sistemlerinin özelliklerini keşfetmeyi ve bu bilgileri paylaşmayı hedef edinmiş bir underground dergi. Sadece dijital ortamda dağıtılıyor, taa 1985'te akustik kuplör kullanan (300 bps) BBS`lerden beri...