XSS-Lücke gefixt (gelöst) (Bugs)

[thread]20637[/thread]

XSS-Lücke gefixt [gelöst]

Tags: bug XSS Ähnliche Threads

Leser: 14

Articles: hide open all | hide show old branches

+7 replies
pq

2019-07-11 20:31

User since
2003-08-04
12208 Artikel
Admin1

Hallo,

vor ein paar Tagen wurde ich kontaktiert bezüglich einer XSS-Lücke im Forum:
https://www.openbugbounty.org/reports/882033/

Der Bug habe ich sofort hier im Forum und im Testforum gefixt und gerade eben ins git gepusht. Ich sollte mir das Javascript-Escaping von HTML::Template::Compiled aber nochmal genauer anschauen.

Hier eins der Beispiele, wie man HTML einschleusen konnte:
https://www.perl-community.de/bat/poard/statistic/year/2004"><hr>
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
- +3 replies
- GwenDragon
  
  2019-07-11 21:03
  
  User since
  2005-01-17
  14538 Artikel
  Admin1
  
  Sehr gut dass es gefixt ist!
  Und was bekommt dann der Hunter des Bugs?
  die Drachin, Gwendolyn
  
  Unterschiedliche Perl-Versionen auf Windows (fast wie perlbrew) • Meine Perl-Artikel
  - +2 replies
  - pq
    
    2019-07-11 21:07
    
    User since
    2003-08-04
    12208 Artikel
    Admin1
    
    Er bat nur um ein Dankeschön auf seiner Profilseite =)
    Vermutlich hat er gesehen, dass es sich um ein privat betriebenes Forum handelt.
    Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
    lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
    - Crian
      
      2019-07-12 09:52
      
      User since
      2003-08-04
      5866 Artikel
      ModeratorIn
      
      Das ist ja toll! Gut dass du es gefixt hast. =)
      s--Pevna-;s.([a-z]).chr((ord($1)-84)%26+97).gee; s^([A-Z])^chr((ord($1)-52)%26+65)^gee;print;
      
      use strict; use warnings; Link zu meiner Perlseite
- bianca
  
  2019-07-13 09:04
  
  User since
  2009-09-13
  6977 Artikel
  BenutzerIn
  
  Wo finde ich denn eine Beschreibung der Lücke zum nachvollziehen?
  10 print "Hallo"
  20 goto 10
- pq
  
  2019-07-13 19:51
  
  User since
  2003-08-04
  12208 Artikel
  Admin1
  
  Ich musste nochmal ran. Kommt davon, wenn man zu eilig ist.
  Durch meinen fix wurde eine andere XSS-Lücke möglich, allerdings indirekt, man musste zusätzlich klicken.
  
  Ist jetzt auch gefixt und im git.
  Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
  lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
- pq
  
  2019-07-13 19:57
  
  User since
  2003-08-04
  12208 Artikel
  Admin1
  
  Das Problem war folgendes im Template:
  onClick="show_login('[%= .data.login.from escape=JS %]');return false"
  
  In .data.login.from steht der URL-Pfad, den man aufgerufen hat, ggfs. also auch HTML, welches man einschleusen möchte.
  
  Nach meinem ersten Fix sah es so aus:
  onClick="show_login('[%= .data.login.from escape=HTML|JS %]');return false"
  
  Richtig ist es aber umgekehrt - zuerst Javascript escapen, und dann nochmal HTML, weil es in einem HTML-Attribut steht:
  onClick="show_login('[%= .data.login.from escape=JS|HTML %]');return false"
  
  Die Lücke war zweimal vorhanden. Einmal in der Ansicht der letzten 24h, im Refresh-Button oben links in der Tabelle.
  Die zweite Stelle war weniger problemtisch, weil sie nur das Login-Fenster betraf, welches nur auftaucht, wenn man nicht eingeloggt ist.
  Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
  lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem

View all threads created 2019-07-11 20:31.