XSS ölüyor mu?

0
Yns_
PHP 5.2 ile beraber PHP'de setcookie() fonksiyonuna 7.parametre olarak httponly desteği gelmiş.

Httponly çerezlere Javascript ile ulaşılamadığı için xss ataklarının en tehlikelisi olan cookie çalma olayı ortadan kalkıyor.

Şu an tek sorun her tarayıcı tarafından desteklenmemesi, ama yakında bir çok tarayıcı yeni sürümünde bu standartlara uyacaktır tahminimce.IE 7 ile en güvenli şekilde bu özelliği destekliyor, fakat mozilla şaşırtıcı bir şekilde desteklemiyor.
Destekleyen tarayıcılar:
* IE 6.0 SP1 and later - prevents reading, but not over-writing (still allows preset CSRF attacks)
* IE 7.0 - prevents reading and writing - safest
* Safari 1.3 and later - prevents reading
* Opera 8 and later - prevents reading
* Mozilla - not supported
* Firefox - not supported
* IE 5.x for Mac - will actually fail to render the page. Use browser detection to encourage them to migrate to Safari or Firefox once it supports HttpOnly


Bu adreste mozilla tabanlı tarayıcılar için potansiyel çözümler var.

Konu ile ilgili kaynaklar: #1 , #2

Görüşler

0
belfagor
Mozillanın desteklememesi tuhaf. Mic bile desteklerken Mozillanın böyle yapması....

Ama eminimki yeni sürümlerde bu desteği görücez.
0
yilmaz
XSS açığı benim doğru dürüst kod yazamamamdan kaynaklanan bir durum değil mi? Bunu artık tarayıcı kodlayan kişiler mi düşünmek zorunda artık?
0
arsenelupin
Herkes birlikte düşünmek zounda.

Sonuçta kodu yazan kim olursa olsun insan ve dolayısıyla "insani hatalar" her zaman söz konusu olabilir. Elbette gerekli önlemleri alarak xss ve diğer sıkça görülen açıkların üstesinden doğrudan php katmanında gelinebilir, öte taraftan, insani hatalara karşı birden fazla güvenlik katmanının bulunması her zaman tercih edilen bir durum olmalı gibime geliyor.

Yine de itiraz edilecekse, kanımca birden fazla güvenlik katmanı bulunmasının, kod yazan kişiyi zihinsel tembelliğe itmesi ve kişinin "nasıl olsa tarayıcıya takılır" düşüncesiyle yazdığı koda gereken özeni göstermemesi noktasında itiraz edilebilir.
0
Yns_
Xss her zaman kod yazarı ile alakalı bir durum olmuyor, tarayıcıların yorumlama farkları yüzünden xss zayıflıkları ortaya çıkabiliyor.Örneğin aşağıdaki kodu IE javascipt olarak çalıştırıyor.

<IMG STYLE="xss:expr/*XSS*/ession(alert('XSS'))">


Projeniz öyle bir proje ki, bazı html etiketlerine izin veriyorsunuz.İçinde IMG'de var..Şimdi elinizde böyle bir veri var, ve buna benzer milyonlarca yorumlama farkından doğan zayıflık olabilir.

Javascript ile ulaşamayacak bir cookie göndermek varken, yukardaki yorumlama farkları için standart değerleri aldıktan sonra beyaz liste oluşturup mu kontrol ederdiniz?
(Biz ikincisini yaptık, yüzlerce satır ekstradan kod yazmak durumunda kalıyorsunuz.)

Şahsen ben tarayıcıları yeterince düşündüm, birazda onlar bizi düşünsün.
0
anonim
Beyaz liste ve karaliste zaten kullanılması gereken önlemler bana kalırsa.
Diğer taraftan bu tip durumlar için daha kesin çözüm mod_security gibi web uygulamaları için geliştirilmiş ids leri kullanmaktır bence. 2 satırlık bir kuralla hemen hemen bütün XSS saldırılarının önünü kesersiniz.
0
Yns_
IE'nin yorumlama farkı olmasa yukarıda bahsettiğim problem karaliste yöntemi ile kolayca çözülebiliyor.

Ama bu konuda iş beyaz liste oluşturmaya gelince elinizde milyonlarca html attribute bulunan bir array'la uğraşmak zorunda kalıyorsunuz..
0
anonim
Evet beyaz liste biraz zahmetli ama IE olmasa bile dahi güvenlik açısından beyaz liste tercih edilmeli bana kalırsa.

Diğer taraftan baştada söylediğim gibi mod_securty benzeri uygulamalarla sorunu çözmek mümkün ama yalnızca mod_security veya yalnızca dispatcher kullanarak güvenliği tek katmana indirgemiş oluyorsunuz. Tabi bu da aslında risk ve kaynak yönetimi ile ilgili bir konu biraz da...
0
selam
Unutulmamalıdır ki her kod yazan kişinin elinde istediği gibi yönlendirebileceği bir sunucu yada sistem yöneticisi yok. Kaldı ki "yaşasın artık Javascript ile Cookie'lerimi çalamayacaklar" diye form yada benzeri yerlerden gelen veri alanlarını kontrol etmeyi bırakmamalıyız. Hala dünyada eski sürüm tarayıcı kullanan insanlar olacaktır. Bu liste kullanımı uzun bir süre daha devam edecektir hatta etmelidir.
0
gCg
tarayıcı destekleri bir yana sunucu desteği biraz daha kaygılandırıyor beni. linux sunucuların büyük bir yüzdesinde kullanılan cpanel henüz php4 olduğu için hala sunucuların bir çoğu php4 destekliyor.

php5'e geçiş için daha zaman var gibi gelmekte.
0
PHP-HuNTeR
ewet php5 için zaman var gibi gözküyor çünkü Host firmalarının işine gelmiyor o kdr forumu host ederken, php sürümünü değiştirince ortaya çıkan sorunlarla uğraşmak
0
wookiert-
Bu baslik XSS'i cookie calmaktan ibaret sananlarin dustugu bir yanilgidan ortaya cikmis olsa gerek. Bunun disinda, insanlarin javascript konusunda obsesif olmasini ilginc buldugumu ekleyeyim. Tarayicilarda calistirilabilen kod javascriptle kisitli degil. XSS icin Flash objeleri, Java vs. bir cok seyi kullanmak mumkun.

XSS in bence asil tehlikeli oldugu yer stored xss dedigimiz kisim. Kullaniciya sunulan cikti htmlencode edilmedigi surece de bu sorun kolay kolay cozumlenebilecek gibi gozukmuyor.
0
Yns_
Insanlar neden okumaktan acizler...
0
anonim
Pardon, bir sey mi kacirdim? Daha net olabilir misiniz?
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Bayrağı yakalamaya çalışanları yakalayın!

conan

Her sene DEF CON dünyanın en büyük "hacking party"sini düzenliyor. Capture the flag ismi verilen bu partiye dünyanın dört bir yanından hackerlar katılıyor. Göreviniz 72 saat içerisinde bir sisteme girebilmek!

İşte bu kargaşada da The Shmoo Group da oluşan bütün trafiği loglamış ve de online olarak internet ortamına sunmuş. 5.8 GB'lik herhalde dunyanın en büyük IDS testinin sonucunu indirmek isteyenlere kolay gelsin! :)))

Not: ben baktığımda site sanırım slashdot etkisinden down olmuştu ;) Yine de referans olarak linkleri vereyim dedim.

NSA güvenlik rehberleri

sundance

NSA´in resmi sitesinde uzun bir süreden beri çeşitli güvenlik rehberleri yayınlanmakta.

Çeşitli Windows sürümleri ve Cisco ürünlerinin kurulum ve yönetimi aşamasında uygulanması önerilen güvenli pratiklerin listelendiği bu çok detaylı dökümanlar eminim birilerinin işine yarayacaktır.

Her zaman belirttiğimiz gibi ´Bir işletim sistemi ancak yöneticisinin bilgi seviyesi ve özeni doğrultusunda güvenlidir.´

.Net gelmeden wormu geldi

tongucyumruk

.Net platformu için yazılmış ilk worm duyuruldu. Sharpei adlı wormun bir kısmı C# ile yazılmış ve .Net framework yüklü bilgisayarları etkiliyor.

Konuyla ilgili Slashdot'ta ve CNET'te çıkan haberler

Biyometrik Güvenlik ve Uygulama Kolaylığı

FZ

Pek çok filmde biyometrik güvenlik ile karşılaşmışsınızdır. Mesela adam kapıya elini koyar ve adamı tanıyan sistem kapıyı açar, kadın asansöre biner ve bir kat numarası söyler ve kadının sesini analiz eden asansör bilgisayarı kadın eğer yetkili ise hareket etmeye başlar veya bir sistemi kullanmaya çalışan kişi karşısındaki kameraya bakar bakmaz sistem iris tabakası şeklini analiz eder ve elindeki eski bilgilerle bir kıyaslama yapar...

Kulağa hoş geliyor değil mi? Yani taşımanız gereken bir anahtar veya akıllı kart yok, hatırlamanız gereken ve zırt pırt unuttuğunuz bir sürü parola, şifre vs. yok. Tamamen sizi bedensel özelliklerinize yani size özgü ve taklit edilmesi nerede ise imkansız işaretlere dayanan güvenlik sistemleri.

The Legend of Puffy Hood

barisozyurt

Only one remote hole in the default install, in more than 7 years!" sloganlı ailenizin işletim sistemi OpenBSD, 1 Kasım'da yayınlayacağı 3.4 sürümünün sürüm şarkısını duyurdu: The Legend of Puffy Hood