Блог пользователя ralekseenkov

Автор ralekseenkov, 15 лет назад, По-русски
Решил на досуге потратить пару минут и потестировать сайт на присутствие различного рода уязвимостей. Сходу обнаружилось две проблемы:

1) Интерпретировать TeX при написание записи в блог или комментария, как оказывается, вполне рискованная затея. Это открывает широкие возможности, начиная от Denial-of-Service атак (проверено) и заканчивая потенциально более неприятными последствиями

2) Cross-Site Scripting (XSS) в поле "Искать по тегу". Заставив участника
сходить по заранее сформированной ссылке (послав ссылку в почту или разместив в посте/комментарии) можно выполнить определенные команды от его имени - это могут быть невинные шалости, а могут быть вещи посерьезнее, такие как кража чужого аккаунта

Текст самих уязвимостей по понятным причинам не приводится и будет отправлен администрации. Но если кто-то вдохновился, то можно последовать моему примеру и заняться более плотным тестированием сайта. Лучше обнаружить проблемы на данном этапе, пока проект еще в beta.
  • Проголосовать: нравится
  • +1
  • Проголосовать: не нравится

15 лет назад, # |
  Проголосовать: нравится 0 Проголосовать: не нравится
С форматированием поста тоже не сложилось, строчки не переносятся из-за наличия pre тега с классом bz_comment_text. Откуда он взялся и как его убрать из поста мне не совсем ясно...
  • 15 лет назад, # ^ |
      Проголосовать: нравится 0 Проголосовать: не нравится
    Там в редакторе можно нажать кнопку <> и поредактировать html. Только после окончания редактирования надо обязательно нажать ее еще раз, чтобы протолкнуть изменения в редактор.

    Вероятно, bz_comment_text это что-то из bugzilla?

    Пункт номер 2 пофиксил. С первым сложнее, хотя latex запускается с ограничением на время исполнения и на другой машине, проблема в самом деле есть. Подумаем.
    • 15 лет назад, # ^ |
        Проголосовать: нравится 0 Проголосовать: не нравится
      Еще заметил что логин форма выставлена через http, а не через https. Все пароли шлются через basic auth в base64 - по сути plaintext, что не есть очень хорошо...
      • 15 лет назад, # ^ |
          Проголосовать: нравится 0 Проголосовать: не нравится
        Как, вы все еще не используете OpenID/Gmail-авторизацию? Тогда мы идем к вам!

        Ну если серьезнее, то логин по https, конечно, можно и сделать - хотя очень многие забивают. Кажется, что фанаты безопасности могут в самом деле использовать OpenID/Gmail.

        А вот с basic auth и base64 ничего не понял. Причем тут basic auth? Кажется, что все шлется post-запросом и передаваемые данные не переводятся в base64.
        • 15 лет назад, # ^ |
            Проголосовать: нравится +12 Проголосовать: не нравится
          не обращай внимание, это у меня временное помутнение рассудка.

          к тому же еще неисправляемое, т.к. система не позволяет редактировать комментарии :)

          кстати говоря очень не хватает предпросмотра для комментариев!