Python týden Geek tričko zdarma
Tričko zdarma! Stačí před dobitím bodů použít kód TRIKO15. Více informací zde
Pouze tento sleva až 80% na kurzy Python

Diskuze: vykonat php kód za pomoci XSS - jde to?

Aktivity (2)
Avatar
jiri.sada
Redaktor
Avatar
jiri.sada:30.7.2018 17:48

Ahoj, mám takový možná trochu hloupý dotaz. Jentak z legrace jsem skennoval jeden web pomocí nástroje skipfish a ten našel na jedné stránce XSS. Je to nginx server, a web postavený v Nette. To XSS vypadá tak, že požadavek na stránku

xxxweb.xd/lp/neco

vygeneruje v elementu body

class="lp-neco"

a funguje to i s HTML, tedy adresa např.

xxxweb.xd/lp/"><script>alert(); `

mi dá JavaScriptový alert (nemůžu tag script ukončit, protože / mi vždy prohlížeč dekódoval, tak jsem zbytek stránky zavřel do multiline stringu). Pokud ale naivně napíšu

xxxweb.xd/lp/<?php phpinfo(); ?>

dostanu

class="lp-<?php phpinfo(); ?>"

Jde tohle nějak zneužít ke spuštění injectnutého phpčka na serveru? V PHP jsem neprogramoval tak 5 let, takže si s tím nevím rady. Díky za nápady!

Editováno 30.7.2018 17:48
 
Odpovědět 30.7.2018 17:48
Avatar
Šimon Rataj
Člen
Avatar
Šimon Rataj:30.7.2018 17:55

Nešlo by dát místo </script>, <%2Fscript>?

 
Nahoru Odpovědět 30.7.2018 17:55
Avatar
Petr Čech
Redaktor
Avatar
Odpovídá na jiri.sada
Petr Čech:30.7.2018 17:58

Ne. To by tam muselo být eval. Ten web tam bude mít nějaké echo.

Nahoru Odpovědět  +1 30.7.2018 17:58
the cake is a lie
Avatar
Peter Mlich
Člen
Avatar
Peter Mlich:31.7.2018 10:06

Napr. Pro Moodle chodi neustale aktualizace, kde je zminka o oprave XSS. Nette asi zatim jen neni dost atraktivni :) Osobne jsem ke XSS moc neduverivy. Zatim to po mne nikdo nechtel. Urcite bych si prostudoval ten php kod, ktery to ma udajne zabezpecovat. Potiz je, kolik je tam podminek. Ze se da html kod slozit z ruznych jazyku s odlisnymi predpisy a pravidly, html, js, css. A u XSS jeste php a mysql.
A navic, jsou pripady, kdy potrebujes predat kod skrz. Jako treba v sql ti nestaci prepsat promene v sql dotazu, ale potrebujes jej cely napsat podle pozadavku uzivatele pro vyhledavani. A jsou lide, kteri posilaji sql dotaz jako parametr odkazu :)

Tak zkus pouzit google = XSS injection nebo XSS injection nette
https://doc.nette.org/…y-protection

 
Nahoru Odpovědět 31.7.2018 10:06
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 4 zpráv z 4.