XSS-hackme - przeprowadzka (aktualnie: statystyki z 30 marca)

Łukasz Pilorz, 29 March 2007

Przeniosłem skrypty do innej domeny, gdzie mogę pozwolić na próby wykorzystania w praktyce:

W przeciwieństwie do wielu zabaw typu “hackme” nie istnieje mechanizm automatycznego sprawdzania rozwiązań - można je przesyłać do mnie mailem. Odpowiedzi i metodę zabezpieczenia opublikuję po 15 kwietnia, chyba że ktoś poda rozwiązania wcześniej.

Jeśli będą problemy, co kilka dni będę dodawał podpowiedź.

Aktualizacja: Wszystkie trzy skrypty są podatne praktycznie niezależnie od wersji i konfiguracji PHP. Rozwiązanie powinno wywołać alert na stronie, nie musi działać we wszystkich przeglądarkach.

Statystyki: Do północy 30 marca dotarły do mnie cztery poprawne odpowiedzi na pierwsze dwa zadania, natomiast trzecie pozostaje nierozwiązane. Jedno rozwiązanie zaliczyłem jako pełne ze względu na szybkość odpowiedzi, chociaż podana dla trzeciego skrypu metoda nie była w tym przypadku poprawna.

Pierwsze podpowiedzi do 2 i 3 skryptu (do 1 chyba nie ma sensu) zamieszczę w niedzielę rano.

XSS-hackme

Łukasz Pilorz, 29 March 2007

Trzy skrypty podatne na XSS:

Proponuję do testów używać przeglądarek podanych w komentarzach. Rozwiązania opublikuję w nieokreślonej przyszłości. Jeśli komuś uda się wywołać alert we wszystkich trzech, rozważę jakąś nagrodę ;)

Rozwiązania można przesyłać na adres lukasz małpa pilorz kropka net.

Session Fixation

Łukasz Pilorz, 7 March 2007

Kilka metod ataku Session Fixation przeciw aplikacjom PHP:

  • identyfikator sesji w URL - wersja często podawana jako przykład. Tutaj ze spacjami dla ukrycia identyfikatora przed okiem użytkownika. Inną metodą maskowania mogłoby być zastosowanie przekierowania, dzięki czemu nie zostałby przesłany nagłówek Referer.
  • Cross-Site Cooking (Internet Explorer) - ciasteczko dla domeny zakończonej kropką (.pl.).
  • Cross-Site Cooking (Firefox <= 2.0.0.1) - z wykorzystaniem luki w location.hostname.
  • XSS - wykorzystanie luki w jednej ze stron należących do atakowanej domeny, i na przykład znacznika meta (http-equiv) do podrobienia nagłówka Set-Cookie.

Month of PHP Bugs

Łukasz Pilorz, 6 March 2007

Na php-security.org można znaleźć szczegóły błędów publikowanych przez Hardened-PHP w ramach MOPB. W lutym ukazało się PHP 5.2.1/4.4.5 (1 marca poprawione na 4.4.6) - prawdopodobnie wkrótce pojawi się kolejna aktualizacja.