XSS ölüyor mu?

0
Yns_
Yns_
15 Ağustos 2006 , 1 dakika okuma süresi
PHP 5.2 ile beraber PHP'de setcookie() fonksiyonuna 7.parametre olarak httponly desteği gelmiş.

Httponly çerezlere Javascript ile ulaşılamadığı için xss ataklarının en tehlikelisi olan cookie çalma olayı ortadan kalkıyor.

Şu an tek sorun her tarayıcı tarafından desteklenmemesi, ama yakında bir çok tarayıcı yeni sürümünde bu standartlara uyacaktır tahminimce.IE 7 ile en güvenli şekilde bu özelliği destekliyor, fakat mozilla şaşırtıcı bir şekilde desteklemiyor.
Destekleyen tarayıcılar:
* IE 6.0 SP1 and later - prevents reading, but not over-writing (still allows preset CSRF attacks)
* IE 7.0 - prevents reading and writing - safest
* Safari 1.3 and later - prevents reading
* Opera 8 and later - prevents reading
* Mozilla - not supported
* Firefox - not supported
* IE 5.x for Mac - will actually fail to render the page. Use browser detection to encourage them to migrate to Safari or Firefox once it supports HttpOnly

Bu adreste mozilla tabanlı tarayıcılar için potansiyel çözümler var.

Konu ile ilgili kaynaklar: #1 , #2
Güvenlik
13
Linkedin Facebook Twitter Google plus

Görüşler

belfagor
0
belfagor
Mozillanın desteklememesi tuhaf. Mic bile desteklerken Mozillanın böyle yapması....

Ama eminimki yeni sürümlerde bu desteği görücez.
yilmaz
0
yilmaz
XSS açığı benim doğru dürüst kod yazamamamdan kaynaklanan bir durum değil mi? Bunu artık tarayıcı kodlayan kişiler mi düşünmek zorunda artık?
arsenelupin
0
arsenelupin
Herkes birlikte düşünmek zounda.

Sonuçta kodu yazan kim olursa olsun insan ve dolayısıyla "insani hatalar" her zaman söz konusu olabilir. Elbette gerekli önlemleri alarak xss ve diğer sıkça görülen açıkların üstesinden doğrudan php katmanında gelinebilir, öte taraftan, insani hatalara karşı birden fazla güvenlik katmanının bulunması her zaman tercih edilen bir durum olmalı gibime geliyor.

Yine de itiraz edilecekse, kanımca birden fazla güvenlik katmanı bulunmasının, kod yazan kişiyi zihinsel tembelliğe itmesi ve kişinin "nasıl olsa tarayıcıya takılır" düşüncesiyle yazdığı koda gereken özeni göstermemesi noktasında itiraz edilebilir.
Yns_
0
Yns_
Xss her zaman kod yazarı ile alakalı bir durum olmuyor, tarayıcıların yorumlama farkları yüzünden xss zayıflıkları ortaya çıkabiliyor.Örneğin aşağıdaki kodu IE javascipt olarak çalıştırıyor.

<IMG STYLE="xss:expr/*XSS*/ession(alert('XSS'))">

Projeniz öyle bir proje ki, bazı html etiketlerine izin veriyorsunuz.İçinde IMG'de var..Şimdi elinizde böyle bir veri var, ve buna benzer milyonlarca yorumlama farkından doğan zayıflık olabilir.

Javascript ile ulaşamayacak bir cookie göndermek varken, yukardaki yorumlama farkları için standart değerleri aldıktan sonra beyaz liste oluşturup mu kontrol ederdiniz?
(Biz ikincisini yaptık, yüzlerce satır ekstradan kod yazmak durumunda kalıyorsunuz.)

Şahsen ben tarayıcıları yeterince düşündüm, birazda onlar bizi düşünsün.
anonim
0
anonim
Beyaz liste ve karaliste zaten kullanılması gereken önlemler bana kalırsa.
Diğer taraftan bu tip durumlar için daha kesin çözüm mod_security gibi web uygulamaları için geliştirilmiş ids leri kullanmaktır bence. 2 satırlık bir kuralla hemen hemen bütün XSS saldırılarının önünü kesersiniz.
Yns_
0
Yns_
IE'nin yorumlama farkı olmasa yukarıda bahsettiğim problem karaliste yöntemi ile kolayca çözülebiliyor.

Ama bu konuda iş beyaz liste oluşturmaya gelince elinizde milyonlarca html attribute bulunan bir array'la uğraşmak zorunda kalıyorsunuz..
anonim
0
anonim
Evet beyaz liste biraz zahmetli ama IE olmasa bile dahi güvenlik açısından beyaz liste tercih edilmeli bana kalırsa.

Diğer taraftan baştada söylediğim gibi mod_securty benzeri uygulamalarla sorunu çözmek mümkün ama yalnızca mod_security veya yalnızca dispatcher kullanarak güvenliği tek katmana indirgemiş oluyorsunuz. Tabi bu da aslında risk ve kaynak yönetimi ile ilgili bir konu biraz da...
selam
0
selam
Unutulmamalıdır ki her kod yazan kişinin elinde istediği gibi yönlendirebileceği bir sunucu yada sistem yöneticisi yok. Kaldı ki "yaşasın artık Javascript ile Cookie'lerimi çalamayacaklar" diye form yada benzeri yerlerden gelen veri alanlarını kontrol etmeyi bırakmamalıyız. Hala dünyada eski sürüm tarayıcı kullanan insanlar olacaktır. Bu liste kullanımı uzun bir süre daha devam edecektir hatta etmelidir.
gCg
0
gCg
tarayıcı destekleri bir yana sunucu desteği biraz daha kaygılandırıyor beni. linux sunucuların büyük bir yüzdesinde kullanılan cpanel henüz php4 olduğu için hala sunucuların bir çoğu php4 destekliyor.

php5'e geçiş için daha zaman var gibi gelmekte.
PHP-HuNTeR
0
PHP-HuNTeR
ewet php5 için zaman var gibi gözküyor çünkü Host firmalarının işine gelmiyor o kdr forumu host ederken, php sürümünü değiştirince ortaya çıkan sorunlarla uğraşmak
wookiert-
0
wookiert-
Bu baslik XSS'i cookie calmaktan ibaret sananlarin dustugu bir yanilgidan ortaya cikmis olsa gerek. Bunun disinda, insanlarin javascript konusunda obsesif olmasini ilginc buldugumu ekleyeyim. Tarayicilarda calistirilabilen kod javascriptle kisitli degil. XSS icin Flash objeleri, Java vs. bir cok seyi kullanmak mumkun.

XSS in bence asil tehlikeli oldugu yer stored xss dedigimiz kisim. Kullaniciya sunulan cikti htmlencode edilmedigi surece de bu sorun kolay kolay cozumlenebilecek gibi gozukmuyor.
Yns_
0
Yns_
Insanlar neden okumaktan acizler...
anonim
0
anonim
Pardon, bir sey mi kacirdim? Daha net olabilir misiniz?
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Korsan mı değil mi?
bahadirkandemir
28 Ocak 2005, 1 dakika okuma süresi

BBC'deki bir haberde, Asya'daki tsunami sonrası açılan Felaketler ve Acil Durum Komitesi (Disasters and Emergency Committee - DEC) web sitesini kırma girişimi engellenmiş. Metropolitan Polisi, Bilgisayar Suçları Birimindeki memurların söylediğine göre, BT'nin yılbaşı arifesinde yapılan kırma girişimini bloklamasının ardından bir soruşturma başlatılmış.

Web Güvenlik Topluluğu Buluşması - 14 Kasım
anonim
9 Kasım 2009, 1 dakika okuma süresi

Web Güvenlik Topluluğu tarafından düzenlenen web güvenliği etkinliğine web güvenliği ile ilgilenen herkes davetlidir.

WinNT/IIS yöneticilerine 1 Nisan şakası
larweda
3 Nisan 2001, 1 dakika okuma süresi

Birçok anti-güvenlik grubu 1 Nisan günü acı bir şaka yaparak Internette WinNT/W2K - MS IIS konfigürasyonuna sahip web sunucularının güvenlik önlemlerini kırdı ve anasayfalarını değiştirdi.

Microsoft Windows NT4.0 veya Microsoft Windows 2000 sunucular üzerinde Microsoft Internet Information Server ile sunulan ve saldiriya ugrayan adresler arasında Walt Disney, Wall Street Journal'in WebWatch'ı, British Telecomms, HSBC, Good Year Motors, MSN Dollars, Amerikan Deniz Kuvvetleri Taktik Sistemleri (Navy Center for Tactical Systems Interoperability), Ringling Bros. and Barnum & Bailey ve Doğu Carolina Üniversitesi de var.

Firefox 2.0.0.5 için kritik uzaktan kod çalıştırma açığı
Yns_
28 Temmuz 2007, 1 dakika okuma süresi

Firefox'un yeni çıkan sürümünde ciddi bir açık bulundu, billy'nin bloğundan örnekleri görmek mümkün.

Açık, dinamik sitelerdeki link verme kodlarını da etkiliyebiliyor, regex'i iyi yazılmamış herhangi bir URL bbcode'u ile veya "A" etiketine izin veren herhangi bir sistemde rahatlıkla sömürülebiliyor.

M$ Word´deki Açık Makroları Uyarı Olmadan Çalıştırıyor
Challenger
8 Eylül 2003, 1 dakika okuma süresi

Olympos.org' da yer alan bu habere göre M$ Word' deki bir açık sayesinde, makro virüsleri, Word size bir uyarı vermeden otomatik olarak çalışabiliyor.

"Açık sayesinde bir saldırganın kötü amaçlı bir doküman hazırlayarak macro güvenlik modelini aşması mümkün oluyor. Eğer doküman açılırsa, ayarlı olan macro güvenlik ayarı ne olursa olsun ekli olan makro otomatik olarak çalışıyor. Kötü amaçlı makro dosya ekleme, değiştirme, silme, bir web sitesi ile haberleşme ve disk sürücüyü formatlama gibi kullanıcının yetkisi olduğu tüm işlemleri gerçekleştirebiliyor."

Not: Eh be Micros~1 kelime işlemciyi bile baş belası haline getirdin ya! Helal olsun!