Diskuze: vykonat php kód za pomoci XSS - jde to?

Software Viry a zabezpečení vykonat php kód za pomoci XSS - jde to? American English version English version

Aktivity (1)
Avatar
jiri.sada
Redaktor
Avatar
jiri.sada:30. července 17:48

Ahoj, mám takový možná trochu hloupý dotaz. Jentak z legrace jsem skennoval jeden web pomocí nástroje skipfish a ten našel na jedné stránce XSS. Je to nginx server, a web postavený v Nette. To XSS vypadá tak, že požadavek na stránku

xxxweb.xd/lp/neco

vygeneruje v elementu body

class="lp-neco"

a funguje to i s HTML, tedy adresa např.

xxxweb.xd/lp/"><script>alert(); `

mi dá JavaScriptový alert (nemůžu tag script ukončit, protože / mi vždy prohlížeč dekódoval, tak jsem zbytek stránky zavřel do multiline stringu). Pokud ale naivně napíšu

xxxweb.xd/lp/<?php phpinfo(); ?>

dostanu

class="lp-<?php phpinfo(); ?>"

Jde tohle nějak zneužít ke spuštění injectnutého phpčka na serveru? V PHP jsem neprogramoval tak 5 let, takže si s tím nevím rady. Díky za nápady!

Editováno 30. července 17:48
 
Odpovědět 30. července 17:48
Avatar
Šimon Rataj
Člen
Avatar
Šimon Rataj:30. července 17:55

Nešlo by dát místo </script>, <%2Fscript>?

 
Nahoru Odpovědět 30. července 17:55
Avatar
Petr Čech
Redaktor
Avatar
Odpovídá na jiri.sada
Petr Čech:30. července 17:58

Ne. To by tam muselo být eval. Ten web tam bude mít nějaké echo.

Nahoru Odpovědět  +1 30. července 17:58
the cake is a lie
Avatar
Peter Mlich
Člen
Avatar
Peter Mlich:31. července 10:06

Napr. Pro Moodle chodi neustale aktualizace, kde je zminka o oprave XSS. Nette asi zatim jen neni dost atraktivni :) Osobne jsem ke XSS moc neduverivy. Zatim to po mne nikdo nechtel. Urcite bych si prostudoval ten php kod, ktery to ma udajne zabezpecovat. Potiz je, kolik je tam podminek. Ze se da html kod slozit z ruznych jazyku s odlisnymi predpisy a pravidly, html, js, css. A u XSS jeste php a mysql.
A navic, jsou pripady, kdy potrebujes predat kod skrz. Jako treba v sql ti nestaci prepsat promene v sql dotazu, ale potrebujes jej cely napsat podle pozadavku uzivatele pro vyhledavani. A jsou lide, kteri posilaji sql dotaz jako parametr odkazu :)

Tak zkus pouzit google = XSS injection nebo XSS injection nette
https://doc.nette.org/…y-protection

 
Nahoru Odpovědět 31. července 10:06
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 4 zpráv z 4.