Komentarze do: XSS-hackme: zwycięzca i rozwiązania http://lukasz.pilorz.net/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/ Bezpieczeństwo aplikacji internetowych Thu, 04 Jun 2009 21:19:31 +0000 hourly 1 http://wordpress.org/?v=3.0 Autor: jasio http://lukasz.pilorz.net/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/comment-page-1/#comment-143 jasio Fri, 06 Apr 2007 14:36:20 +0000 http://lukasz.pilorz.net/index.php/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/#comment-143 No wszystko jest jasne, oprocz jednego :) W taki wypadku po co w ogole w utf-8 jest mozliwosc zapisu czegokolwiek w 6 formatach skoro nikt tego nie uzyje? No wszystko jest jasne, oprocz jednego :)
W taki wypadku po co w ogole w utf-8 jest mozliwosc zapisu czegokolwiek w 6 formatach skoro nikt tego nie uzyje?

]]> Autor: Łukasz Pilorz http://lukasz.pilorz.net/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/comment-page-1/#comment-137 Łukasz Pilorz Thu, 05 Apr 2007 17:28:53 +0000 http://lukasz.pilorz.net/index.php/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/#comment-137 Zachowanie Firefoksa, Opery, IE7 itd. jest poprawne. 0xC1 to początek dwubajtowej sekwencji UTF-8, ale kolejny bajt musi się w takiej sekwencji zaczynać od bitu 1, czyli mieć wartość przynajmniej 0x80. Bajty 0x01-0xBF mogą występować tylko w jednobajtowych znakach, dzięki czemu znaki UTF-8 z tego zakresu są jednocześnie poprawnymi znakami ASCII. Teoretycznie 0x22 można zapisać też jako 0xC0 0xA2, ale dodatkowa zasada mówi o tym, że każdy znak musi być zapisany na minimalnej ilości bajtów, na której jest to możliwe. Nie powinno się interpretować nadmiarowych sekwencji - prowadziłoby to do niezliczonej ilości luk. Znaleziono wiele bardzo grożnych błędów w oprogramowaniu nie stosującym tej zasady - najbardziej znana jest chyba poniższa: http://www.securityfocus.com/bid/1806/exploit W związku z tą dodatkową zasadą, żadna poprawna sekwencja UTF-8 nie zaczyna się od bajtu 0xC0. Zachowanie Firefoksa, Opery, IE7 itd. jest poprawne. 0xC1 to początek dwubajtowej sekwencji UTF-8, ale kolejny bajt musi się w takiej sekwencji zaczynać od bitu 1, czyli mieć wartość przynajmniej 0×80. Bajty 0×01-0xBF mogą występować tylko w jednobajtowych znakach, dzięki czemu znaki UTF-8 z tego zakresu są jednocześnie poprawnymi znakami ASCII.

Teoretycznie 0×22 można zapisać też jako 0xC0 0xA2, ale dodatkowa zasada mówi o tym, że każdy znak musi być zapisany na minimalnej ilości bajtów, na której jest to możliwe. Nie powinno się interpretować nadmiarowych sekwencji – prowadziłoby to do niezliczonej ilości luk. Znaleziono wiele bardzo grożnych błędów w oprogramowaniu nie stosującym tej zasady – najbardziej znana jest chyba poniższa:
http://www.securityfocus.com/bid/1806/exploit

W związku z tą dodatkową zasadą, żadna poprawna sekwencja UTF-8 nie zaczyna się od bajtu 0xC0.

]]> Autor: jasio http://lukasz.pilorz.net/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/comment-page-1/#comment-134 jasio Thu, 05 Apr 2007 15:33:47 +0000 http://lukasz.pilorz.net/index.php/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/#comment-134 W ogóle to ja nie wiem, czy programiście IE popełnili błąd, czy programiści FF? W końcu 0xc0,0x22, to jest jakiś znak utf-8. Dlaczego Firefox tego nie przetwarza? Dlaczego przeglądarki nie obsługują wszystkich 6 postaci każdego znaku w UTF-8? W ogóle to ja nie wiem, czy programiście IE popełnili błąd, czy programiści FF? W końcu 0xc0,0×22, to jest jakiś znak utf-8. Dlaczego Firefox tego nie przetwarza? Dlaczego przeglądarki nie obsługują wszystkich 6 postaci każdego znaku w UTF-8?

]]> Autor: Łukasz Pilorz http://lukasz.pilorz.net/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/comment-page-1/#comment-129 Łukasz Pilorz Wed, 04 Apr 2007 20:48:00 +0000 http://lukasz.pilorz.net/index.php/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/#comment-129 Funkcja preg_match() potraktuje bajt zerowy w przeszukiwanym ciągu jak normalny znak, więc jest pod tym względem znacznie bezpieczniejsza. Nie można przy pomocy bajtu zerowego obejść filtrów bazujących na perlowych wyrażeniach regularnych. Gdyby bajt zerowy trafił jakoś do wzorca, zostałby jednak potraktowany jako koniec tego wzorca. Nie wiem, dlaczego funkcja preg_quote() jest bezpieczna dla danych binarnych, a pierwszy argument preg_match() nie - moim zdaniem nie ma to sensu. Na szczęście taka sytuacja właściwie nie ma miejsca w praktyce. Jeżeli dane użytkownika trafiają z jakiegoś powodu do wzorca, to bardziej należy się martwić o to, żeby nie istniała możliwość dołączenia modyfikatora "e" w preg_replace(), niż o bajt zerowy. Funkcja preg_match() potraktuje bajt zerowy w przeszukiwanym ciągu jak normalny znak, więc jest pod tym względem znacznie bezpieczniejsza. Nie można przy pomocy bajtu zerowego obejść filtrów bazujących na perlowych wyrażeniach regularnych.

Gdyby bajt zerowy trafił jakoś do wzorca, zostałby jednak potraktowany jako koniec tego wzorca. Nie wiem, dlaczego funkcja preg_quote() jest bezpieczna dla danych binarnych, a pierwszy argument preg_match() nie – moim zdaniem nie ma to sensu. Na szczęście taka sytuacja właściwie nie ma miejsca w praktyce. Jeżeli dane użytkownika trafiają z jakiegoś powodu do wzorca, to bardziej należy się martwić o to, żeby nie istniała możliwość dołączenia modyfikatora „e” w preg_replace(), niż o bajt zerowy.

]]> Autor: Antoni Jakubiak http://lukasz.pilorz.net/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/comment-page-1/#comment-125 Antoni Jakubiak Wed, 04 Apr 2007 18:10:32 +0000 http://lukasz.pilorz.net/index.php/2007/04/01/xss-hackme-zwyciezca-i-rozwiazania/#comment-125 Drugie wejście jest super ciekawe. Nie przypuszczałem, że %00 będzie traktowane jako koniec stringu dla erega. A jak zachowają się wyrażenia regularne perlowskie? Drugie wejście jest super ciekawe. Nie przypuszczałem, że %00 będzie traktowane jako koniec stringu dla erega. A jak zachowają się wyrażenia regularne perlowskie?

]]>