60 ÎØÈÁÊÈ ÌÎËÎÄÎÑÒÈ ÑÏÅÖ 02-07çàíèìàþòñÿ áåçîïàñíîñòüþ ïðîåêòà ñïóñòÿ ðóêàâà. ñèñòåìå äîñòàòî÷íî äîëãî ñóùåñòâîâàëè ðàáî÷èåXSS-óÿçâèìîñòè, î êîòîðûõ àäìèíèñòðàöèÿáûëà îïîâåùåíà.ïðèìåð ýêñïëóàòàöèè ýòîé óÿçâèìîñòè:http://www.link.ru/?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/adv.cgi?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/reklama.cgi?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/siteowner.cgi?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/contact.cgi?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/stats.cgi?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/faq.cgi?sid=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3Ehttp://www.link.ru/?sid=%27%3E%3Cscript%3Edocument.location%3D'http://websecurity.com.ua'%3C/script%3Ewww.context.meta.ua. Ïðèìåð ýêñïëóàòàöèèèìåâøåé ìåñòî óÿçâèìîñòè:http://context.meta.ua/?mode=phrase&phrase=%3Cscript%3Ealert(document.cookie)%3C/script%3Eóÿçâèìîñòè â ïàðòíåðñêîì êîäå. Óïîìÿíóòûåâ ñèñòåìàõ êîíòåêñòíîé ðåêëàìû (procontext.ru è context.meta.ua)XSS-óÿçâèìîñòè íàõîäÿòñÿ â èíòåðôåéñàõñàìèõ ñèñòåì. Íî âîçìîæíû åùå è àòàêè íà ñàéòûó÷àñòíèêîâ äàííûõ ñèñòåì ÷åðåç óÿçâèìîñòè â ïàðòíåðñêîìêîäå, — åñëè ñèñòåìû ïðåäëàãàþò ðàçìåùàòüïàðòíåðñêèé êîä íà ñàéòå, îñîáåííî â ñëó÷àå èíòåãðàöèèðåêëàìû ñ ëîêàëüíûì ïîèñêîì íà ñàéòå. (XSSóÿçâèìîñòèâ êîäàõ ñèñòåì Äèðåêòßíäåêñ è Áåãóí).www.begun.ru. Õîòÿ óÿçâèìîñòü áûëà â êîíòåêñòíîìêîäå Áåãóíà, îíà ñòàâèëà ïîä âîïðîñ áåçîïàñíîñòüêîäà ñàéòîâ-ïàðòíåðîâ, â äàííîì ïðèìåðå— ñàéòà Ðàìáëåðà:http://www.rambler.ru/srch?words=%D2%E5%F1%F2%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3EÝòà óÿçâèìîñòü îòíîñèòñÿ ê òèïó XSS â DOM è ìîæåòáûòü îïàñíà äëÿ âñåõ ïîñåòèòåëåé ñàéòà.http://direct.yandex.ru.  Äèðåêòßíäåêñå èìåëàìåñòî XSS-óÿçâèìîñòü, ïðè÷åì êàê ñîáñòâåííàÿ(â ñàìîé ñèñòåìå), òàê è óÿçâèìîñòü â êîäå, êîòîðûéèñïîëüçóåòñÿ ñàéòàìè-ïàðòíåðàìè (íà ïðèìåðåñàéòà itnews.com.ua):http://itnews.com.ua/s.cgi?page=2'%3Balert(document.cookie)%3Ba='&q=%F2%E5%F1%F2http://itnews.com.ua/s.cgi?page=2'%3Bdocument.location%3D'http://websecurity.com.ua'%3Ba='&q=%F2%E5%F1%F2ÂÈÄÛ XSS-ÀÒÀÊCross-Site Scripting (òàêæå CSS è XSS)óÿçâèìîñòè â êîíòåêñòå âåáà (âåá-ïðèëîæåíèÿè âåá-ñèñòåìû) — óÿçâèìîñòèíà ñàéòàõ, êîòîðûå ìîãóò ïðèâåñòèê âûïîëíåíèþ çàäàííîãî íàïàäàþùèìêîäà â êîíòåêñòå áðàóçåðà ïîëüçîâàòåëÿ,àòàêîâàííîãî çëîóìûøëåííèêîì.Äðóãèìè ñëîâàìè, ýòî óÿçâèìîñòü â âåáïðèëîæåíèÿõñ íåêîððåêòíî ðàáîòàþùèìèôèëüòðàìè âõîäÿùåé èíôîðìàöèè,êîòîðàÿ íå ïðîâåðÿåòñÿ äîëæíûìîáðàçîì ïåðåä òåì, êàê âåðíóòü ðåçóëüòàòïîëüçîâàòåëþ.Ñðåäè âîçìîæíûõ àòàê íà ïîëüçîâàòåëåéðåêëàìíûõ èíòåðíåò-áðîêåðîâñ ïðèìåíåíèåì XSS ìîæíî âûäåëèòüñëåäóþùèå: ïàññèâíûé XSS, àêòèâíûéXSS è XSS â DOM. Êàæäàÿ èìååò ñâîèîñîáåííîñòè è ïîçâîëÿåò çëîóìûøëåííèêóïðîâåñòè àòàêó íà ó÷àñòíèêà ñèñòåìû,âïëîòü äî çàõâàòà àêêàóíòà.Ïàññèâíûé XSS. Ñàìûé ðàñïðîñòðàíåííûéâèä XSS. Äëÿ óñïåøíîé àòàêèó÷àñòíèê äîëæåí áûòü â ñèñòåìå (è â åãîêóêèñàõ äîëæíà õðàíèòüñÿ èíôîðìàöèÿîá àâòîðèçàöèè). Ïîñëå ýòîãî çëîóìûøëåííèê,ïîäãîòîâèâ ñîîòâåòñòâóþùèéðàáî÷èé XSS-êîä äëÿ óÿçâèìîé ñòðàíèöû,äîëæåí êàêèì-òî îáðàçîì çàñòàâèòüïîëüçîâàòåëÿ ñèñòåìû èñïîëíèòüåãî. Ýòî âîçìîæíî êàê ïóòåì ñîîáùåíèÿæåðòâå (ïî òîé æå àñüêå) «ññûëêè»íà ñòðàíèöó (îñòàíåòñÿ òîëüêî óáåäèòüïîëüçîâàòåëÿ çàéòè íà ýòó ñòðàíèöó),òàê è ðàçìåùåíèÿ «ññûëêè» íà êàêîìòîñàéòå (ïðè ýòîì ìîæíî ñïðÿòàòü èñòèííûéàäðåñ, ÷òîáû ïîëüçîâàòåëü íè-÷åãî íå çàïîäîçðèë). Ïîñëå òîãî êàêæåðòâà, íè÷åãî íå ïîäîçðåâàÿ, ïîïàäåòâ ëîâóøêó, ñðàáàòûâàåò «çëîáíûé»êîä è íàïàäàþùèé ïîëó÷àåò êóêèñ æåðòâûñ àâòîðèçàöèîííîé èíôîðìàöèåé.Ïðè ýòîì æåðòâà ïðîïóñêàåò âñå ìèìîãëàç è óøåé.Ïîñëå ïîëó÷åíèÿ êîíôèäåíöèàëüíûõäàííûõ ñ êóêèñàìè ó÷àñòíèêà ñèñòåìûçëîóìûøëåííèê ìîæåò èñïîëüçîâàòüèõ äëÿ âõîäà â ñèñòåìó ðåêëàìíîãîèíòåðíåò-áðîêåðà îò åãî èìåíè ñ ïîñëåäóþùèìíàíåñåíèåì óùåðáà êàê «îáâîðîâàííîìó»ó÷àñòíèêó, òàê è ñàìîìóèíòåðíåò-áðîêåðó.Àêòèâíûé XSS. Ýòî ìåíåå ðàñïðîñòðàíåííûéâèä XSS. Íî äàííàÿ óÿçâèìîñòüîïàñíåå, òàê êàê ìîæåò íàíåñòèâðåä áîëüøåìó êîëè÷åñòâó ó÷àñòíèêîâè ïðîöåññ òàêîé àòàêè áîëåå óïðîùåííûéïî ñðàâíåíèþ ñ ïàññèâíûì XSS.Çëîóìûøëåííèê, èñïîëüçîâàâ àêòèâíóþXSS-óÿçâèìîñòü, çàíîñèò ïðèãîòîâëåííûéXSS-êîä â áàçó äàííûõñèñòåìû ðåêëàìíîãî èíòåðíåò-áðîêåðà.È äàëåå åìó íå íóæíî ìîðî÷èòü ñåáå ãîëîâóçàìàíèâàíèåì æåðòâû â ëîâóøêó,òàê êàê îíà ïîïàäàåòñÿ ñàìà, ïðîñòîçàéäÿ â àêêàóíò ñèñòåìû è ïîñåòèâ òóñòðàíèöó, ãäå îòîáðàæàþòñÿ äàííûåèç ÁÄ (âìåñòå ñ êîäîì çëîóìûøëåííèêà).Ïîëó÷àåòñÿ, æåðòâà ñàìîñòîÿòåëüíîîòäàåò ñâîè êóêèñû, îïÿòü æå, íè÷åãîíå çàìåòèâ.Ïîëó÷èâ êîíôèäåíöèàëüíûå äàííûåñ êóêèñàìè ó÷àñòíèêà ñèñòåìû,çëîóìûøëåííèê, êàê è â ïåðâîì ñëó÷àå,ìîæåò èñïîëüçîâàòü èõ äëÿ âõîäà â ñèñòåìóðåêëàìíîãî èíòåðíåò-áðîêåðà îòèìåíè þçåðà ñ ïîñëåäóþùèì çàõâàòîìàêêàóíòà.XSS â DOM (DOM Based XSS). Îòäåëüíûéè âåñüìà îïàñíûé âèä óÿçâèìîñòåéìåæñàéòîâîãî ñêðèïòèíãà —ñòàíäàðòíûå ôèëüòðû ïðîòèâ êëàññè-÷åñêèõ XSS â ýòîì ñëó÷àå íå ïîìîãóò.Ìåòîäèêà àòàêè ïîäîáíà ìåòîäèêåâ ñëó÷àå ïàññèâíîãî XSS. Òî÷íî òàê æåçëîóìûøëåííèê ïîäãîòàâëèâàåò çëîíàìåðåííûéêîä äëÿ óÿçâèìîé ñòðàíèöûè çàìàíèâàåò â ëîâóøêó ïîëüçîâàòåëÿñèñòåìû. Ïîñëå ÷åãî ïîëó÷àåò åãî êóêèñè êîíòðîëü åãî àêêàóíòà. Ïðèíöèïèàëüíàÿðàçíèöà — â îñîáåííîñòÿõ ðàáîòûXSS â DOM — ôèëüòðû, íàïðàâëåííûåíà êëàññè÷åñêèå XSS, íå ïîìîãàþò (ê ïðèìåðó,ôèëüòðàöèÿ óãëîâûõ ñêîáîê),è çàäàííûé êîä âûïîëíÿåòñÿ íà óÿçâèìîéñòðàíèöå.Ïîäîáíûå óÿçâèìîñòè ìîãóò âñòðå-÷àòüñÿ êàê â êîäå ñèñòåì ðåêëàìíûõ èíòåðíåò-áðîêåðîâ,òàê è â ïàðòíåðñêîìêîäå ñèñòåìû êîíòåêñòíîé ðåêëàìû.Ýòà óÿçâèìîñòü òàê æå îòíîñèòñÿ ê òèïó XSS â DOMè ìîæåò áûòü èñïîëüçîâàíà ïðîòèâ âñåõ ïîñåòèòåëåéñàéòà. Ñåé÷àñ âñå ýòè óÿçâèìîñòè óæå íåéòðàëèçîâàíû.çàêëþ÷åíèå. Ê ñîæàëåíèþ, è ñåé÷àñ ñèòóàöèÿñ óÿçâèìîñòÿìè XSS íà ñàéòàõ íåêîòîðûõ èíòåðíåòáðîêåðîâñêëàäûâàåòñÿ íå ëó÷øèì îáðàçîì. À ñèäåòüíà «ïîðîõîâîé áî÷êå» è æäàòü, êîãäà ðâàíåò,— íå ñàìûé ëó÷øèé âûõîä. Íî ñ êàæäîé èñïðàâëåííîéXSS äûðîé ñèòóàöèÿ óëó÷øàåòñÿ. Ïîýòîìóïðèçûâàåì àäìèíèñòðàòîðîâ ñåðüåçíåå îòíîñèòñÿê ïðîáëåìå áåçîïàñíîñòè è ïðîâåðèòü ñâîè ïðîåêòû,êàê ìèíèìóì, íà íàëè÷èå îïèñàííûõ âûøåóÿçâèìîñòåé.http://en.wikipedia.org/wiki/Cross_site_scriptingÑross-Site Scriptingwww.securitylab.ru/analytics/275087.phpìåæñàéòîâûé ñêðèïòèíã ÷åðåç DOMhttp://websecurity.com.ua/127/õàêèíã ñàéòà ÷åðåç óÿçâèìîñòè â êîäå âíåøíèõ ñèñòåìhttp://websecurity.com.ua/9/æóðíàëû BugsWeekhttp://websecurity.com.ua/90/óÿçâèìîñòü íà mainlink.ruhttp://websecurity.com.ua/109/óÿçâèìîñòü íà mainlink.ruchttp://websecurity.com.ua/137/óÿçâèìîñòü íà adbroker.ruhttp://websecurity.com.ua/250/óÿçâèìîñòü íà adbroker.ruhttp://websecurity.com.ua/323/óÿçâèìîñòü íà www.link.ruhttp://websecurity.com.ua/260/óÿçâèìîñòü íà www.link.ruhttp://websecurity.com.ua/17/óÿçâèìîñòü íà Ðàìáëåðåhttp://websecurity.com.ua/398/óÿçâèìîñòè â Äèðåêòßíäåêñåhttp://websecurity.com.ua/397/óÿçâèìîñòè íà itnews.com.ua
http://www.gameland.ru/ Dark Fall: The Journal / Divine Divinity 2 / Elevator Action Old & New / Dorabase / Con-----