Xss?

[muii]

Hallo mal wieder.

Nehmen wir an, es gibt eine Webseite mit einer Suchfunktion. Wenn man in die Suchfunktion einen HTML Befehl eintippt und dieser ausgeführt wird, dann bedeutet das wohl, dass HTML nicht gefiltert wird.

Was bedeutet das? Kann damit XSS durchgeführt werden?

JS kann auch asugeführt werden. Dieser Code erzeugt ein Hinweisfenster mit "XSS".

<script type="text/javascript">alert("XSS");</script>

Was tun?

Grüße.

 

[odigo]

<script type="text/javascript">alert("XSS");</script>

 

[muii]

geht.

 

[Yebexu]

Dann kannst du da so ziemlich alles einschleusen, was dir beliebt.
Also XSS ist möglich. Schnell fixen die lücke

 

[muii]

Alles klar. Danke. Werde ich machen.

Auf was muss man noch achten? Was sind typische Angriffsszenarios?

Wenn man einen Fileupload hat und dieser alle Dateiformate, auch php, erlaubt. Ist das eine Gefahr?

 

[Yebexu]

Auf jeden Fall.
Klassisches Szenario bei einem Einbruch wäre:
Der Angreifer sucht nach dem Dateipfan in den die Dateien geladen werden und läd dann ein PHP-Script, dass verschlüsselt eine Konsole (sog. "php-shell") enthält, hoch.
Dann öffnet er dies über den URL-Path den er vorher ermittelt hat und hat Dateizugriff auf alles, was er benötigt.
Typische zu sperrende Dateitypen sind *.asp, *.php, *.html und und und. Eine solche Shell könnte er z.B. auch per XSS einbinden.
Das ist eine sehr kurze und bei weitem unvollständige Beschreibung des Problems aber wenn du Fragen hast, frag gerne alles noch hier, und falls du genauere Anweisungen haben willst oder ähnliches Kannst du mir auch gerne noch ne PM schriben

 

[muii]

Wie ermittelt man einen solchen Dateipfad?

In meinem konkreten Fall soll eine XLS hochgeladen werden. Das System entnimmt die Einträge und speichert sie in die Datenbank.

Das Hochladen anderer Dateitypen ist möglich.

Nur ist das vermutlich etwas schwieriger als bei einer img, die hochgeladen wird. Wenn man z.B. in einem Forum einen Avater hochlädt, dann kann man den Pfad einfach ermitteln.

Aber wie würde der Angreifer in meinem Falle vorgehen?

 

[xrayn]

[..] Eine solche Shell könnte er z.B. auch per XSS einbinden.[..]

Wie denn? Ich dachte bis jetzt immer, dass JS nur Client-seitig ausgeführt und XSS nur für Session-Hijacking/CSRF genutzt wird?

 

[Yebexu]

Also wenn das gelesen wird würde man nach einem Muster suchen. Meine Empfehlung:
Upload auf XML beschränken. Dann Alle hochgeladenen Dateien nach dem lesen sofort wieder löschen. Upload-Dateifeld-String prüfen, weil man theoretisch per "datei.php%20.xml" zum Bleistift sonst noch Zeug hochladen könnte.

Eine genaue Anleitung dazu habe ich nicht beziehungsweise werde ich nicht geben, weil das viele Menschen hier lesen können und ich keine Lust habe irgendwelche illegalen Machenschaften zu unterstützen, ich hoffe, du verstehst das

Und @xrayn: Ich hab da mal was gesehen aber ganz sicher bin ich mir nicht. Aber da ich sicher weiß, dass man per FileInclude-Vulnerabilitys solche Dinge direkt in das Dokument laden kann wäre ich nicht überrascht wenn das per XSS auch gehen würde. Ansonsten kann man ja genug Möglchkeiten einschleusen um anderweitig auf den Server zu kommen.

 

[Chakky]

Vielleicht sollten erstmal paar Begriffe geklärt werden... und dann nochmal genau sagen was ihr machen wollt...

 

[muii]

die einzige Frage, die noch im Raume ist, ist diejenige nach dem Dateipfad. Wie kann ein Angreifer diesen bestimmen?

 

[Yebexu]

Legs einfach in einen Unterordner mit möglichst langem, wirrem Namen und lass deine PHP-Datei keine verweise in der HTML-Ausgabe anlegen und dann brauchst du dir keine Sorgen zu machen

Vielleicht sollten erstmal paar Begriffe geklärt werden... und dann nochmal genau sagen was ihr machen wollt...

Also was er machen will scheint mir schlüssig aber ich denke, die Idee per XML-Serialisierung Daten zu lesen, die hochgeladen werden hat er ja deutlich erklärt.
Welche Begriffe möchtest du denn noch ge- oder erklärt haben?

 

[Chakky]

Legs einfach in einen Unterordner mit möglichst langem, wirrem Namen und lass deine PHP-Datei keine verweise in der HTML-Ausgabe anlegen und dann brauchst du dir keine Sorgen zu machen ?

Security by Obsecurity hat noch nie richtig funktioniert....

lass einfach in den Upload Ordner keine falschen Dateien gelangen und wenn es dochmal passiert blockiere die Ausführung bzw Interpretation derer....

 

[CDW]

Wozu die Seite ownen? Bei einer persistenten XSS und einer gut besuchten Seite dürfte die Einbindung eines Malware-Kits deutlich mehr bringen

 

[Yebexu]

Weil evtl shared Hosting

 

[muii]

Weil evtl shared Hosting

Was hat das zur Folge?

 

[Yebexu]

Dass ein etwas geübter Cracker über ein eingebettetes PHP-Shell eventuell nicht nur Zugriff auf deine Seite bekommt, sondern auch auf alle anderen, die auf dem Server/vServer liegen.

 

[muii]

Ja, klar, logisch. Das ist mir bewusst. Aber das ist ja nur ein Vorteil. Als es vorhin geschrieben wurde, klang es nachteilhaft. Deshalb auch meine Nachfrage.

 

[Yebexu]

Das ist ein Nachteil. Weil wenn da jemand über deione Seite den Server lahmlegt und co bist du verantwortlich.
Nur aus Verständnisgründen: Wir diskutieren doch noch das absichern deiner website und nicht deinen Versuch irgendwo einzubrechen?

 

[muii]

Wir reden über Angriffsszenarien. Und ich glaube, dass es sinnvoll ist, wenn man aufgeklärt ist.