Добро пожаловать, Гость. Пожалуйста авторизуйтесь здесь.
FGHIGate на GaNJa NeTWoRK ST@Ti0N - Просмотр сообщения в эхоконференции RU.FIDONET.DIGEST
Введите FGHI ссылку:


Присутствуют сообщения из эхоконференции RU.FIDONET.DIGEST с датами от 15 Jul 13 08:53:56 до 28 Mar 24 13:17:19, всего сообщений: 2379
Ответить на сообщение К списку сообщений Предыдущее сообщение Следующее сообщение
= Сообщение: 133 из 2379 ================================= RU.FIDONET.DIGEST =
От   : Vladimir Fyodorov                2:50/15            22 Jul 14 18:22:16
Кому : All                                                 22 Jul 14 18:22:16
Тема : RU.FIDONET.TODAY: Уязвимость в публичной части wFido устранена
FGHI : area://RU.FIDONET.DIGEST?msgid=2:50/15+53ce739c
= Кодировка сообщения определена как: CP866 ==================================
==============================================================================

> Макс Лушников устранил уязвимость в публичной части своей WebBBS
> wFido, которую три дня назад обнаружил Mithgol the Webmaster.

=============================================================================
* Area : RU.FIDONET.TODAY
* From : Mithgol the Webmaster, 2:50/88 (19 Июля 2014 10:33)
* To   : Vladimir Fyodorov
* Subj : Итоги теста
=============================================================================
Знаю уж, Vladimir Fyodorov! 20:38 17 Jul 2014 написано тебе мною:

MtW>>> Сразу скажу ещё для полноты картины, что не только Hotdoged,
MtW>>> но и собственно лушниковское wfido отображает HTML entities
MtW>>> в заголовке сообщения ── например, вот на этой странице:

VF>> WebFido Валентина Кузнецова, кстати, тоже их отобразило.

MtW> Это презабавно. Куча народу думает, что для преобразования в HTML
MtW> достаточно поместить теги в текст, либо ничегошеньки в нём не экранируя,
MtW> либо экранируя не всё.

MtW> Если они не только HTML entities, но и угловые скобки оставляют без
MtW> внимания, то это не окончится добром для них.

К сожалению, тест показал именно то, что в wfido действительно вообще никак
не экранируются и угловые скобки также.

В отличие от неэкранированных HTML entities, неэкранированные угловые скобки
представляют собою серьёзную уязвимость, позволяющую вызвать и исполнить любой
JavaScript, то есть перехватить управление браузером.

В частности, можно сделать так (и сделал), что на сайте FTN.SU нельзя будет
и зайти на http://ftn.su/a/RU.FIDONET.TODAY/ без того, чтобы оказаться тотчас
перенаправленным на совсем другой сайт.

(А вот в WebFido Валентина Кузнецова эта уязвимость отсутствует, например.)

[...]
=============================================================================


=============================================================================
* Area : RU.FIDONET.TODAY
* From : Max Lushnikov, 2:5020/1519.1 (22 Июля 2014 15:03)
* To   : Mithgol the Webmaster
* Subj : Итоги теста
=============================================================================

> К сожалению, тест показал именно то, что в wfido действительно вообще
> никак не экранируются и угловые скобки также.

В wfido всё как раз нормально. В том wfido, которое требует регистрации и авторизации (и которое стоит еще у нескольких людей). А вот в том новом куске, который реализует публичную часть, проблема была. Спасибо за намек, исправил.

С наилучшими пожеланиями, Max Lushnikov.
=============================================================================

--- GoldED+/W32-MINGW 1.1.5-b20120515
* Origin: Esquire Station (2:50/15)

К главной странице гейта
Powered by NoSFeRaTU`s FGHIGate
Открытие страницы: 0.020641 секунды