XSS ölüyor mu?

0
Yns_
Yns_
15 Ağustos 2006 , 1 dakika okuma süresi
PHP 5.2 ile beraber PHP'de setcookie() fonksiyonuna 7.parametre olarak httponly desteği gelmiş.

Httponly çerezlere Javascript ile ulaşılamadığı için xss ataklarının en tehlikelisi olan cookie çalma olayı ortadan kalkıyor.

Şu an tek sorun her tarayıcı tarafından desteklenmemesi, ama yakında bir çok tarayıcı yeni sürümünde bu standartlara uyacaktır tahminimce.IE 7 ile en güvenli şekilde bu özelliği destekliyor, fakat mozilla şaşırtıcı bir şekilde desteklemiyor.
Destekleyen tarayıcılar:
* IE 6.0 SP1 and later - prevents reading, but not over-writing (still allows preset CSRF attacks)
* IE 7.0 - prevents reading and writing - safest
* Safari 1.3 and later - prevents reading
* Opera 8 and later - prevents reading
* Mozilla - not supported
* Firefox - not supported
* IE 5.x for Mac - will actually fail to render the page. Use browser detection to encourage them to migrate to Safari or Firefox once it supports HttpOnly

Bu adreste mozilla tabanlı tarayıcılar için potansiyel çözümler var.

Konu ile ilgili kaynaklar: #1 , #2
Güvenlik
13
Linkedin Facebook Twitter Google plus

Görüşler

belfagor
0
belfagor
Mozillanın desteklememesi tuhaf. Mic bile desteklerken Mozillanın böyle yapması....

Ama eminimki yeni sürümlerde bu desteği görücez.
yilmaz
0
yilmaz
XSS açığı benim doğru dürüst kod yazamamamdan kaynaklanan bir durum değil mi? Bunu artık tarayıcı kodlayan kişiler mi düşünmek zorunda artık?
arsenelupin
0
arsenelupin
Herkes birlikte düşünmek zounda.

Sonuçta kodu yazan kim olursa olsun insan ve dolayısıyla "insani hatalar" her zaman söz konusu olabilir. Elbette gerekli önlemleri alarak xss ve diğer sıkça görülen açıkların üstesinden doğrudan php katmanında gelinebilir, öte taraftan, insani hatalara karşı birden fazla güvenlik katmanının bulunması her zaman tercih edilen bir durum olmalı gibime geliyor.

Yine de itiraz edilecekse, kanımca birden fazla güvenlik katmanı bulunmasının, kod yazan kişiyi zihinsel tembelliğe itmesi ve kişinin "nasıl olsa tarayıcıya takılır" düşüncesiyle yazdığı koda gereken özeni göstermemesi noktasında itiraz edilebilir.
Yns_
0
Yns_
Xss her zaman kod yazarı ile alakalı bir durum olmuyor, tarayıcıların yorumlama farkları yüzünden xss zayıflıkları ortaya çıkabiliyor.Örneğin aşağıdaki kodu IE javascipt olarak çalıştırıyor.

<IMG STYLE="xss:expr/*XSS*/ession(alert('XSS'))">

Projeniz öyle bir proje ki, bazı html etiketlerine izin veriyorsunuz.İçinde IMG'de var..Şimdi elinizde böyle bir veri var, ve buna benzer milyonlarca yorumlama farkından doğan zayıflık olabilir.

Javascript ile ulaşamayacak bir cookie göndermek varken, yukardaki yorumlama farkları için standart değerleri aldıktan sonra beyaz liste oluşturup mu kontrol ederdiniz?
(Biz ikincisini yaptık, yüzlerce satır ekstradan kod yazmak durumunda kalıyorsunuz.)

Şahsen ben tarayıcıları yeterince düşündüm, birazda onlar bizi düşünsün.
anonim
0
anonim
Beyaz liste ve karaliste zaten kullanılması gereken önlemler bana kalırsa.
Diğer taraftan bu tip durumlar için daha kesin çözüm mod_security gibi web uygulamaları için geliştirilmiş ids leri kullanmaktır bence. 2 satırlık bir kuralla hemen hemen bütün XSS saldırılarının önünü kesersiniz.
Yns_
0
Yns_
IE'nin yorumlama farkı olmasa yukarıda bahsettiğim problem karaliste yöntemi ile kolayca çözülebiliyor.

Ama bu konuda iş beyaz liste oluşturmaya gelince elinizde milyonlarca html attribute bulunan bir array'la uğraşmak zorunda kalıyorsunuz..
anonim
0
anonim
Evet beyaz liste biraz zahmetli ama IE olmasa bile dahi güvenlik açısından beyaz liste tercih edilmeli bana kalırsa.

Diğer taraftan baştada söylediğim gibi mod_securty benzeri uygulamalarla sorunu çözmek mümkün ama yalnızca mod_security veya yalnızca dispatcher kullanarak güvenliği tek katmana indirgemiş oluyorsunuz. Tabi bu da aslında risk ve kaynak yönetimi ile ilgili bir konu biraz da...
selam
0
selam
Unutulmamalıdır ki her kod yazan kişinin elinde istediği gibi yönlendirebileceği bir sunucu yada sistem yöneticisi yok. Kaldı ki "yaşasın artık Javascript ile Cookie'lerimi çalamayacaklar" diye form yada benzeri yerlerden gelen veri alanlarını kontrol etmeyi bırakmamalıyız. Hala dünyada eski sürüm tarayıcı kullanan insanlar olacaktır. Bu liste kullanımı uzun bir süre daha devam edecektir hatta etmelidir.
gCg
0
gCg
tarayıcı destekleri bir yana sunucu desteği biraz daha kaygılandırıyor beni. linux sunucuların büyük bir yüzdesinde kullanılan cpanel henüz php4 olduğu için hala sunucuların bir çoğu php4 destekliyor.

php5'e geçiş için daha zaman var gibi gelmekte.
PHP-HuNTeR
0
PHP-HuNTeR
ewet php5 için zaman var gibi gözküyor çünkü Host firmalarının işine gelmiyor o kdr forumu host ederken, php sürümünü değiştirince ortaya çıkan sorunlarla uğraşmak
wookiert-
0
wookiert-
Bu baslik XSS'i cookie calmaktan ibaret sananlarin dustugu bir yanilgidan ortaya cikmis olsa gerek. Bunun disinda, insanlarin javascript konusunda obsesif olmasini ilginc buldugumu ekleyeyim. Tarayicilarda calistirilabilen kod javascriptle kisitli degil. XSS icin Flash objeleri, Java vs. bir cok seyi kullanmak mumkun.

XSS in bence asil tehlikeli oldugu yer stored xss dedigimiz kisim. Kullaniciya sunulan cikti htmlencode edilmedigi surece de bu sorun kolay kolay cozumlenebilecek gibi gozukmuyor.
Yns_
0
Yns_
Insanlar neden okumaktan acizler...
anonim
0
anonim
Pardon, bir sey mi kacirdim? Daha net olabilir misiniz?
Görüş belirtmek için giriş yapın...

İlgili Yazılar

IstSec '09 - İstanbul Bilgi Güvenliği Konferansı
sundance
23 Kasım 2009, 3 dakika okuma süresi

2009 yılında dünyaya damgası vuran ve siber tehditlere karşı önemini daha çok hissettiren siber güvenlik, siber casus yetiştirme politikaları, siber savaşlar ve bu alana yönelik olarak ülkelerin bütçelerinden ayırdıkları hatırı sayılır oranlara ulaşan rakamlar, bilgi güvenliğini bireysel, kurumsal ve ülke güvenliği açısından kritik öneme kavuşturmuştur. ISTSEC ‘09 konferansı bu eksendeki soru ve sorunlara çözüm ve çözüm önerileri sunmayı hedeflemektedir.

Kayıt için www.istsec.org

Açık Sistemler ve Güvenlik - 3
FZ
26 Aralık 2002, 9 dakika okuma süresi

"Sana söylemem gereken çok gizli bir şey var: 934FAB9234ASFDGER345ASDF" Anonim

Açık sistemlerde serbestçe kullanabileceğiniz şifreleme yazılımı GnuPG (Gnu Privacy Guard - gpg) isimli özgür güvenlik yazılımını temel alarak anlattığım yazı dizisinin 3. ve son bölümüne hoş geldiniz.

Bu bölüm en kısa ve az detay içeren bölüm ancak burada kısaca ele alacağım konuları ve yazılımları tam olarak kavrayabilmek için 1. ve 2. bölümleri okumuş olmanız gerekiyor.

Okulu Bırakıyorum, Okula Gidiyorum!
PCc0d3r
2 Aralık 2001, 1 dakika okuma süresi

Her zaman demişimdir Türkiye'deki eğitim sistemi bir işe yaramaz diye. Hele bir de şu haberi duyunca Fransa'da oku diye fısıldadı şeytan bana: Fransa'da Zi Hackademy adında (elbette resmi olmayan) bir okul açılmış. 450 Franc karşılığında gittiğiniz okul toplam 9 saat ders veriyor ve verilen eğitimin konusu ise bence cok ilgi çekici: "bir sistem nasıl hack edilir?".
Ben daha fazla dayanamayacağım haberi biraz daha araştıracağım. Siz nerden mi başlayacaksınız işte buradan.

BugTraq Tarayıcı Testi
Soulblighter
20 Ekim 2004, 2 dakika okuma süresi

SecurityFocus sitesinde Michal Zalewski tarafından gerçekleştirilmiş bir tarayıcı testi var. Ben de bu testin çevirisini (özetle) burada sunuyor ve yorumlarınızı merakla bekliyorum :)

Çok kullanılan web tarayıcılarının potansiyel saldırılara ve DoS ataklarına ne kadar dayanabildiklerini ölçmek istedim. Bu amaçla kullanışlı bir araç hazırladım.

Greasemonkey Güvenlik Açığı
butch
21 Temmuz 2005, 1 dakika okuma süresi

Oldukça ilgi gören Firefox eklentilerinden biri olan Greasemonkey'in geliştiricileri tarafından yapılan açıklamaya göre, eklentide kullanıcıların bilgisayarlarında bulunan verilere erişim sağlayan önemli bir güvenlik açığı bulunuyor. Greasemonkey kullanıcılarının eklentiyi kaldırmaları şiddetle öneriliyor. Detaylar için eweek.com ve mozdev.org.