= Сообщение: 133 из 2379 ================================= RU.FIDONET.DIGEST = От : Vladimir Fyodorov 2:50/15 22 Jul 14 18:22:16 Кому : All 22 Jul 14 18:22:16 Тема : RU.FIDONET.TODAY: Уязвимость в публичной части wFido устранена FGHI : area://RU.FIDONET.DIGEST?msgid=2:50/15+53ce739c = Кодировка сообщения определена как: CP866 ================================== ==============================================================================
> Макс Лушников устранил уязвимость в публичной части своей WebBBS > wFido, которую три дня назад обнаружил Mithgol the Webmaster.
============================================================================= * Area : RU.FIDONET.TODAY * From : Mithgol the Webmaster, 2:50/88 (19 Июля 2014 10:33) * To : Vladimir Fyodorov * Subj : Итоги теста ============================================================================= Знаю уж, Vladimir Fyodorov! 20:38 17 Jul 2014 написано тебе мною:
MtW>>> Сразу скажу ещё для полноты картины, что не только Hotdoged, MtW>>> но и собственно лушниковское wfido отображает HTML entities MtW>>> в заголовке сообщения ── например, вот на этой странице:
VF>> WebFido Валентина Кузнецова, кстати, тоже их отобразило.
MtW> Это презабавно. Куча народу думает, что для преобразования в HTML MtW> достаточно поместить теги в текст, либо ничегошеньки в нём не экранируя, MtW> либо экранируя не всё.
MtW> Если они не только HTML entities, но и угловые скобки оставляют без MtW> внимания, то это не окончится добром для них.
К сожалению, тест показал именно то, что в wfido действительно вообще никак не экранируются и угловые скобки также.
В отличие от неэкранированных HTML entities, неэкранированные угловые скобки представляют собою серьёзную уязвимость, позволяющую вызвать и исполнить любой JavaScript, то есть перехватить управление браузером.
В частности, можно сделать так (и сделал), что на сайте FTN.SU нельзя будет и зайти на http://ftn.su/a/RU.FIDONET.TODAY/ без того, чтобы оказаться тотчас перенаправленным на совсем другой сайт.
(А вот в WebFido Валентина Кузнецова эта уязвимость отсутствует, например.)
============================================================================= * Area : RU.FIDONET.TODAY * From : Max Lushnikov, 2:5020/1519.1 (22 Июля 2014 15:03) * To : Mithgol the Webmaster * Subj : Итоги теста =============================================================================
> К сожалению, тест показал именно то, что в wfido действительно вообще > никак не экранируются и угловые скобки также.
В wfido всё как раз нормально. В том wfido, которое требует регистрации и авторизации (и которое стоит еще у нескольких людей). А вот в том новом куске, который реализует публичную часть, проблема была. Спасибо за намек, исправил.
С наилучшими пожеланиями, Max Lushnikov. =============================================================================
--- GoldED+/W32-MINGW 1.1.5-b20120515 * Origin: Esquire Station (2:50/15)