• 1 رای - 5 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
باگ XSS در Gitorious.org با متد TRACE
#1
باگ XSS در Gitorious.org با متد TRACE Tongue

کد:
TRACE /DDMIpLQebW HTTP/1.1
Cookie: _gitorious_sess=str<script>alert("XSS!");</script>str
Host: gitorious.org
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1;)
Accept: */*
برای تست این packet هدر رو براش بفرستید


1- حتاالمکان متد TRACEرو ببندید
2- محتوای session/cookie رو همیشه فیلتر کنید

اینجا اگر مقدار _gitorious_sess وارد دیتابیس میشد، SQL injection هم رخ میداد
وبلاگ: Yousha.Blog.ir


 کد کمتر => خطای کمتر => قابل فهمتر => خوانایی بالاتر => نگهداری بهتر

  پاسخ
تشکر شده توسط : phpveteran Reza Goback undefined
#2
فکر میکنم اشتباه میکنی!

این یک باگ XSS نیست.

حملهء XSS زمانی هست که شما در یک سایتی بتونی کدی رو درج کنی که در نهایت روی PC کاربران دیگری از اون سایت اجرا بشه. به این شکل مثلا یک کد جاوااسکریپت رو میذاری در اون سایت که وقتی کاربران اون سایت ازش بازدید میکنن کوکی های اونا رو سرقت میکنه (یا هر کار دیگری که میخوای).

اینکه شما الان گذاشتی به صرف اینکه کد جاوااسکریپت که درج کردی دست نخورده در پاسخ برمیگرده و اجرا میشه حملهء XSS نیست. چون با این شما فقط میتونی به خودت حمله کنی Big Grin

وقتی کد رو فقط بتونی روی سیستم خودت اجرا کنی که XSS نمیشه. XSS وقتی هست که بتونی کد رو روی سیستم دیگران اجرا کنی.

اصلا تعریف متد TRACE فکر میکنی چیه؟ پروتکل HTTP میگه این متد در نهایت محتویات درخواست (شامل هدرها) رو در بدنهء پاسخ برمیگردونه:
The final recipient of the request
SHOULD reflect the message received back to the client as the
entity-body of a 200 (OK) response.
ترجمه: «دریافت کنندهء نهایی درخواست باید پیغام دریافت شده را بعنوان بدنهء یک پاسخ 200 (OK) به کلاینت منعکس کند»

طبیعی هست که دیتای درخواست دست هم نباید بخوره اصلا. وگرنه مطابق پروتکل نیست.

اینکه محتویات هدر شما از سورس صفحه سردرآورده، بخاطر تعریف متد TRACE است. کارش همینه!

پس درواقع روی هر سروری که متد TRACE اون باز باشه شما باید همین نتیجه رو بگیری.

البته از متد TRACE بعنوان ابزاری برای دور زدن محدودیت های کوکی های HttpOnly در حمله های پیشرفتهء XSS استفاده میشه (تنها ارتباطش با XSS همینه). ولی در اون مورد هم باگ و نفوذ اولیه با استفاده از ضعف برنامه و امکان درج کدهای جاوااسکریپت در صفحات سایت انجام میشه، بعد از اینکه تونستن کدهای جاوااسکریپت رو اینزرت کنن میان و از متد TRACE برای بدست آوردن مقدار کوکی های HttpOnly استفاده میکنن، چون متد TRACE مقدار این کوکی ها رو هم مثل بقیهء درخواست منعکس میکنه. یعنی قبلا جاوااسکریپت رو اینزرت کردن، و حالا از جاوااسکریپت اینزرت شده برای اجرای یک درخواست TRACE استفاده میکنن.

خلاصه با صرف متد TRACE به تنهایی شما نمیتونی هیچگونه حملهء XSS انجام بدی. و چیزی هم که دیدی و کد جاوااسکریپتی که روی سیستم خودت اجرا شد درواقع نتیجهء طبیعی رفتار طبیعی این متد هست. هیچگونه باگ XSS ای در این متد وجود نداره!
  پاسخ
تشکر شده توسط : zoghal
#3
اصلاً حال نمی کنم جوابتو بدم ولی
فکر می کنی؟؟
وقتی اطلاعاتت درست نیست یا دست پا شکستست مجبور به اظهار نظر نیستی که تایپکو به انحراف بکشی!

اولاً باگهای XSS سطوح مختلفی دارن و زمانی باگ XSS اعلام میشه که یکی از شرایط زیر رو داشته باشه:
قابلیت های مرورگر رو تغییر بده - مال من
شکستن حرمت یا افترا عمومی فرد/شرکت - مال من
بدقیافه/بدنام کردن نرم افزار هدف - مال من
حملات DOS - مال من با قدرت و حجم بالا - چون callback منو برای debug میفرسته

جاسوسی/سرقت در اطلاعات کاربر آنلاین در صفحه مورد نظر
دسترسی به اطلاعات حساس و یا محدود شده(مثل صفحات flash)
و...

دوماً متد TRACE دردرجه اول برای debugging بکار میره و بعد برای آزمایش و... (از نامش هم پیداست)

سوماً تلفیق روش های XSS و تکنولوژی TRACE معقوله cross site tracking / XST رو بوجود میاره
و در اینجا من هم باگ XST رو پیدا کردم و نه XSS! - چون عموم(از جمله تو) با این واژه آشنان - نخواستم بحث دومی پیش بیاد
تاریخچه ش هم اینجاست http://www.cgisecurity.com/whitehat-mirr..._ebook.pdf

چهارماً عادت کردی گوگل کنی، 2 تا مقاله پیدا کنی، 4 خطشو ترجمه کنیو بپری وسط شک و تردید بوجود بیاری؟؟
از چیزی که نه اطلاعی داری و نه مطمعنی؟؟
وبلاگ: Yousha.Blog.ir


 کد کمتر => خطای کمتر => قابل فهمتر => خوانایی بالاتر => نگهداری بهتر

  پاسخ
تشکر شده توسط : Reza
#4
ببین عزیزم تو اومدی نوشتی باگ XSS در Gitorious.org و یک هدری رو هم گذاشتی و گفتی تست کنیم.
هیچ اطلاعات و نوع دیگری از حمله رو ذکر نکردی.
منکه گفتم این باگ XSS نیست. نتیجهء رفتار طبیعی متد TRACE است.
باز بودن متد TRACE هم به خودی خودش باگ و اشکال نیست (هرچند بسته باشه از نظر امنیتی بهتره).

حالا اگر ادعا میکنی منظورت چیز دیگه ای بوده، خب اطلاعات بیشتری بذار و ثابت کن. الان چطور اینو کجا اکسپلویت کردی؟ بگو ما هم تست کنیم.

اگر یک چیزی درسته و مطمئنی پس میشه روش بحث کرد و ثابتش کرد. اگر هم که نمیتونی یا نمیخوای که هیچی. بهرحال من حرف خودم رو میزنم و تو هم حقش رو نداری جلوم رو بگیری.
فروم یک طرفه و مال جنابعالی نیست که. کسی حق نداره بگه دیگران حرف نزنن و انتقاد نکنن. ولو علامهء دهر باشه.
به ادعای و تصور شما هم نیست که بگی حتما من اشتباه میکنم. از کجا معلوم خودت اشتباه نمیکنی یا حتی دروغ نمیکنی که معلوم نشه اشتباهت؟
پس راهی جز بحث منطقی و تحقیق و بررسی تخصصی نیست.
حالا تو چرا میخوای جلوش رو بگیری پس؟

این کدی که تو گذاشتی الان هیچی نیست. چه چیزی رو چطور ثابت میکنه؟
این کد رو روی هر سروری که متد TRACE باز هست اجرا کنی همین نتیجه رو میگیری.
باز بودن متد TRACE هم که به خودی خودش باگ و حفرهء امنیتی نیست. بلکه در ترکیب با حفره ها و باگهای دیگری هست که مورد سوء استفاده واقع میشه.

باگ XST هم نیاز به باگهای دیگری در جاهای دیگر داره و به تنهایی نمیتونه انجام بشه.

In combination with cross domain access flaws in web browsers, the exploit is able to collect the cached credentials of any web site, including those utilizing SSL.

ترجمه: «در ترکیب با باگهای cross domain در مرورگرهای وب، این اکسپلویت میتواند برای جمع آوری اطلاعات احراز هویت هر سایتی منجمله آنهایی که از SSL استفاده میکنند استفاده شود»

همونطور که میبینی XST نیاز اول به باگ در مرورگر داره. خب این چه ربطی به Gitorious داره؟ اول و اصلش باگ مرورگر هست، نه Gitorious.

نقل قول:سوماً تلفیق روش های XSS و تکنولوژی TRACE معقوله cross site tracking / XST رو بوجود میاره
خوبه که خودت هم میگی.
پس اول نیاز داریم یک باگ XSS داشته باشیم.
منم همینو میگم. میگم این که گفتی به خودی خودش هیچی نیست. باگ هم نیست. چون رفتار طبیعی طبق پروتکل هست.

حالا اینکه متد TRACE رو باز گذاشتن شاید بگیم از نظر امنیتی ناشیانه بوده، که اونم بعید میدونم ادمین یک چنین سایت معروفی از روی فراموشی یا کم سوادی چنین کاری کرده باشه، ولی غیرممکن هم نیست.
بهرحال این به تنهایی باگ XSS و XST نمیشه. میشه کانفیگ اشتباه.



نقل قول:قابلیت های مرورگر رو تغییر بده - مال من
یعنی چی قابلیت مرورگر رو تغییر داده؟
بنده تغییری در قابلیت مرورگر ندیدم.
شما خودت یه درخواست رو فرستادی و جوابش رو گرفتی. مرورگر هم مطابق طرز کار خودش رفتار کرده.

نقل قول:شکستن حرمت یا افترا عمومی فرد/شرکت - مال من
بدقیافه/بدنام کردن نرم افزار هدف - مال من
Huh

نقل قول:حملات DOS - مال من با قدرت و حجم بالا - چون callback منو برای debug میفرسته
میشه بیشتر توضیح بدی؟
نمونه کد و تست میذاری براش؟

نقل قول:جاسوسی/سرقت در اطلاعات کاربر آنلاین در صفحه مورد نظر
دسترسی به اطلاعات حساس و یا محدود شده(مثل صفحات flash)
اینا که میگی فقط با استفاده از رفتار طبیعی متد TRACE صورت میگیره یا نیاز به باگ و حمله های دیگری هم داره؟

نقل قول:و در اینجا من هم باگ XST رو پیدا کردم و نه XSS! - چون عموم(از جمله تو) با این واژه آشنان - نخواستم بحث دومی پیش بیاد
بنده هنوز ندیدم که جایی چنین باگی پیدا کرده باشی.
تنها چیزی که پیدا کردی باز بودن متد TRACE روی Gitorious.org بود.
حداقل اطلاعات و کدی که تاحالا دادی چیزی بیشتر از این رو ثابت نمیکنه. اگر میکنه بگو چطور.
یعنی میخوای بگی باز بودن این متد به خودی خودش باگ XST است؟
  پاسخ
تشکر شده توسط :
#5
اه دوباره شروع شد
جواب الکی پس میدی که حرفت زمین نشینه؟؟

حرفهای مفتت رو داشته باش:

1
نقل قول:هیچ اطلاعات و نوع دیگری از حمله رو ذکر نکردی.
lol
نبایدم بکنم که هیچ گزارش هم کردم تا fix ش کنن - مجبور نیستم به تو که سوادشو نداری توضیح بدم یا موشکافیش کنم

2
نقل قول:منکه گفتم این باگ XSS نیست.
حالت خوبه؟؟
پست رو نخوندی؟ یا فارسی بلدی نیستی؟

3
نقل قول:نتیجهء رفتار طبیعی متد TRACE است
؟؟
رفتار طبیعی TRACE؟!
GET/POST هم رفتار طبیعی انجام میدن
echo / print هم رفتار طبیعی انجام میدن
allow_url_include allow_url_fopen رفتار طبیعی انجام میدن
و...
ولی در این میان ازشون سو استفاده میشه


4
نقل قول:باز بودن متد TRACE هم به خودی خودش باگ و اشکال نیست (هرچند بسته باشه از نظر امنیتی بهتره).
کی گفت TRACE باگه؟؟ Huh
یا اشکال؟؟ Huh
همینه دیگه. مفت گویی

5
نقل قول:حالا اگر ادعا میکنی منظورت چیز دیگه ای بوده.
کی ادعا کردم منظورم چیزه دیگه ایه؟؟
حرفم تمام و کمال پست اول و دوممه
نشون بده ببینم


نقل قول:خب اطلاعات بیشتری بذار و ثابت کن. الان چطور اینو کجا اکسپلویت کردی؟ بگو ما هم تست کنیم
با سواد، مثلاً بجای 'xss!' بزار document.cookie یا یه frame بزار یا...

6
نقل قول:اگر یک چیزی درسته و مطمئنی پس میشه روش بحث کرد و ثابتش کرد. اگر هم که نمیتونی یا نمیخوای که هیچی. بهرحال من حرف خودم رو میزنم و تو هم حقش رو نداری جلوم رو بگیری.
فروم یک طرفه و مال جنابعالی نیست که. کسی حق نداره بگه دیگران حرف نزنن و انتقاد نکنن. ولو علامهء دهر باشه.
به ادعای و تصور شما هم نیست که بگی حتما من اشتباه میکنم. از کجا معلوم خودت اشتباه نمیکنی یا حتی دروغ نمیکنی که معلوم نشه اشتباهت؟
من از روی تجربیات و اطلاعات 1 روزم حرفی نمی زنم، بر عکس تو!
کلاً کار حرفه ای با کامپیوتر رو با اینا شروع کردم و بعد کار سودمندم رو با برنامه نویسی جدی
حرفی می زنم که پشتم پر باشه - در غیر این صورت ساکت می مونم

7
نقل قول:پس راهی جز بحث منطقی و تحقیق و بررسی تخصصی نیست.
حالا تو چرا میخوای جلوش رو بگیری پس؟
سر سفید "بحث منطقی و تحقیق و بررسی" ماله خودته و نه مال من - جاش توی گوگله ونه این تاپیک
من جلوی به انحراف و spam کشیده شدن تاپیکم رو می خوام بگیرم
نه من، همه

8
نقل قول:این کد رو روی هر سروری که متد TRACE باز هست اجرا کنی همین نتیجه رو میگیری.باز بودن متد TRACE هم که به خودی خودش باگ و حفرهء امنیتی نیست. بلکه در ترکیب با حفره ها و باگهای دیگری هست که مورد سوء استفاده واقع میشه.
همینه دیگه میگم حرف مفت میزنی
اول امتحان بکن بعد مخ بازی در بیار
اولاً هر سروری متد trace ش فعال نیست، دوماً پارامتری (مثل کوکی) روش وجود نداره که بخوای مقداری رو بهش بدی که پردازش کنه یا جواب بده
از هر 100 تا 1 دونه آسیب پذیره


کلاً left کن دیگه بخدا اصلاً حوصلتو ندارم
میدونم تا 100 تا پست دیگه هم هی باید به تو جواب بدم آخرشم هیچ! - ثابت شده ای
چون تو همیشه از روی *** حرف میزنی و نه با پشت پر، تحقیق و تجربه عملی

همینطور که گفتم عادت کردی گوگل کنی، 2 تا مقاله پیدا کنی، 4 خطشو ترجمه کنیو بپری وسط و نظر مفت و spam بدی
اگر انگلیسی بلد نبودی لال از دنیا میرفتی


این تاپیک هم به گند کشیدی
وبلاگ: Yousha.Blog.ir


 کد کمتر => خطای کمتر => قابل فهمتر => خوانایی بالاتر => نگهداری بهتر

  پاسخ
تشکر شده توسط :
#6
گفتم اینجا بزنم، بخاطر تجربیات تخصصی تر در این زمینه:
http://ashiyane.org/forums/showthread.php?t=73262

نقل قول:این حمله از خانواده حملات xss موسوم به xst میباشد

نقل قول:این باگ از نوع XSS Reflected هست

نقل قول:بله اسمش XSS هست...

   
...

وقتی در اینگونه مباحث شرکت کن که دستت پر باشه یا تجربه علمی و عملی دراز مدت داشته باشی(نه 1 ساعته! و ترجمه 2 خط مقاله) یا جنبه بحث منطقی بدون خارج شدن از موضوع و کولی بازی رو داشته باشی


در ضمن رفتار طبیعی مبیعی هم راه ننداز - کوچه علی چپ...
همه چیز رفتار/مکانیزم طبیعی خودشو داره - از echo/print تا allow_url_fopen/allow_url_include و include ،GET/POST... زبان perl/python... تمام پروتکل ها
این خرابکاره که وادارشون میکنه به عکس العمل غیر طبیعی
و یا سو استفاده از رفتار/مکانیزم طبیعی
جهت اطلاع


سعی کن دیگه در تاپیک های من شرکت نکنی!
وبلاگ: Yousha.Blog.ir


 کد کمتر => خطای کمتر => قابل فهمتر => خوانایی بالاتر => نگهداری بهتر

  پاسخ
تشکر شده توسط :


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان