Platon Technologies
neprihlásený Prihlásiť Registrácia
SlovakEnglish
open source software development oslavujeme 10 rokov vývoja otvoreného softvéru! Utorok, 21. august 2018
O nás
Magazín
Otvorený softvér
CVS
Služby
Index  »  Tlačové správy  »  Analýza bezpečnosti webových stránok operačných programov  »  Výpis príspevkov

Analýza bezpečnosti webových stránok operačných programov
(Reakcia na vyjadrenia ministra Štefanova)

Autor: Ondrej Jombík | Sekcia: Tlačové správy | Dátum: 2009-11-02

Dňa 30.11.2009 prezentoval Konzervatívny inštitút na tlačovej konferencii nehorázne obstarávacie ceny webstránok operačných programov. Zo včerajšieho vyjadrenia pána ministra Štefanova, ktorým sa snažil obhájiť opodstatnenosť vynaložených financií vyplýva, že uvedené webstránky boli drahé najmä kvôli svojmu zabezpečeniu.

Platon.SK Diskusie

Pre informácie o pravidlách obsahu vkladanom užívateľmi a ochrane osobných údajov si prosím prečítajte naše Podmienky použitia.

Vývoj
Diskusia k článku

predmet prispevku

Author: vajcak | Homepage: http://web.stranka.sk | Date: 2009-12-02 20:35

v zivote som o vas nepocul pan odbornik. vela exibicionizmu skodi. venujte sa radsej politike alebo serioznej praci. man-in-the-middle attack moze byt pouzity na lubovolnej stranke samozrejme s roznou narocnostou. XSS sa vyskytuje takmer u vsetkych beznych CMS vratane opensource. samozrejme, ze sa nedaju najst za minutku.
pekny den

 

trosku pokoja....

Author: Lza | Date: 2009-12-02 22:25

ak chcete kritizovat tak by ste to mali robit trosku v medziach slusnosti. ani o vas nikto nic nepocul, tiez ma zaraza ze odporucate p.Jombikovi sa venovat serioznej praci, rad by som poznal vas pohlad na serioznu pracu resp. ci vobec viete comu sa p.Jombik venuje.

neda mi nespomenut, ze dana zranitelnost nema s utokom typu mitm nic spolocne a mitm sa uz vobec neda pouzit na "lubovolnej stranke". xss v ziadnom pripade nemozete generalizovat na mitm, existuje samozrejme sposob ako xss vyuzit na typ mitm, ale ten ma na mile daleko od xss typu na spominanych strankach. tiez nie je pravda, ze vacsina CMS trpi touto formou zranitelnosti, poznam velmi vela systemov ktore to maju osetrene, a veruze sa xss zranitelnost da odhalit za minutku...aj rychlejsie.

clanok sa mi zda v poriadku, nie je prehnany, poukazuje na realne nedostaky v aplikacii, aj ked dana xss zranitelnost sa mohla popisat odbornejsie...ale ako vravim, nie to bola podstata clanku

 

analyza ...

Author: Lukas | Date: 2009-12-03 00:09

Uroven popisu chyb je nizka, ale je to z dovodu, ze tie chyby su tak trivialne, ze nic zlozitejsie netreba :)

Celkom sa cudujem, ze to nezabezpecili proti tymto utokom hned ako zistili, ze sa to bude medializovat. Ved muselo byt jasne, ze v tom momente sa tam niekto nabura. Pravdepodobne vobec netusili, co je XSS :)

Btw. tu analyzu by mohol skusit niekto spravi teraz po zakladnom osetreni pravdepodobne stiahnutom z prveho google odkazu :) Vysledok by bol asi podobny, akurat by trvalo o 7 minut dlhsie najst chybu. Rozsiahle CMS musi byt programovane so zasadami bezpecnosti, nestaci narychlo osetrit jeden search formular ...

Ad XSS a script-kidie -> tento utok je tak neskutocne preflaknuty, ze ano. script kiddie ho zvladne. Bez problemov. na XSS attack example vypluvne google tolko odkazov, ze to zvladne aj moj stary otec ...

Ad Man In The Middle -> clovece, to ze si nieco precitas na bleskovky.sk v sekcii pocitace neznamena, ze tomu rozumies. Prosim,napis ako zautics pomocou man in the middle na
https://ib.slsp.sk/main/start.do
Uz ta adresa je hint, musi tam byt https, aby sa o tom dalo zacat hovorit ;)

 

... analyza ...

Author: Plavec | Date: 2009-12-03 01:43

Ked uz sa tu niekto hra na bezpectnostneho analytika, tak by mal tak aj prezentovat informacie!

Pokial opisujem nejaky utok, tak napisem aj ako bol tento utok vykonany. Ten screenshot mozno vyzera pekne ale nema ziadnu vypovednu hodnotu. Preco tam napriklad nie je zachytena url adresa?

Ten XSS utok ktory bol vykonany bol typu non-persistent, to znamena, ze na to aby sme mohli vidiet jeho vysledok, musime poznat specialne upravenu URL adresa. Cize neda sa to docielit beznou navigaciou na sranke.

Podstata spocivala v tom, ze na stranke po uskutocneni vyhladavania, sa v url adrese nahradil hladany text "zakernym" html kodom:
"'<h1>TUNEL?</H1><img src="http://fotky.sme.sk/foto/44864/tunel?type=v&x =650&y=487">
ktory sposobil, ze na mieste vypisania hladaneho vyrazu sa ukazal obrazok tunela.

K ziadnym trvalym zmenam nedoslo, "tunel" bol pristupny iba na upravenej url adrese. Do stranky sa v skutocnosti nic neulozilo, len to co si tam sam navstenik doniesol so sebou.

PS: Tento clanok povazujem za pamflet, ziadna analyza bezpecnosti sa nekonala ...

 

RE: ... analyza ...

Author: Igor Mino | Homepage: http://platon.sk | Date: 2009-12-03 02:48

> Pokial opisujem nejaky utok, tak napisem aj ako
> bol tento utok vykonany. Ten screenshot mozno
> vyzera pekne ale nema ziadnu vypovednu hodnotu.
> Preco tam napriklad nie je zachytena url adresa?

Pan Plavec, poprosim vas precitat si samotny clanok este *pred* jeho kritizovanim. Tu su zverejnene spominane URL:

http://platon.sk/article.php?72#5

Dakujem

 

RE: ... analyza ...

Author: Plavec | Date: 2009-12-03 15:18

 

RE: ... analyza ...

Author: | Date: 2009-12-03 17:11

 

RE: ... analyza ...

Author: Lza | Date: 2009-12-03 10:31

Prosim vas uvedomte si, ze sa jednalo o POC a nie o dokazovanie, co sa vdaka zranitelnosti da vykonat. Vdaka spominanej chybe sa daju vykonat zakerne utoky voci uzivatelom systemu, zialbohu zavaznost xss zranitelnosti sa podcenuje prave kvoli neznalosti problematiky do hlbky

 

RE: ... analyza ...

Author: Plavec | Date: 2009-12-03 14:32

Ked to bolo POC, tak preco bolo v nadpise "analyza bezpecnosti", POC a analyza maju od seba na mile daleko.
Clanok "predava" produkt, ktory je zabaleny do obalu drahej znacky, ale ked to rozbalite, tak zistite, ze je to len prebal nejakeho lacneho vyrobku ktory nejde na odbyt.
Netreba ziadne dokazovanie zranitelnosti, stacilo len pomenovat co sa stalo a nazorne, slovne vysvetlit postup/princip.
Autor preukazal znalosti prekladu wikipedie, tak ked uz prekladal, tak mohol strucne vymenovat typy XSS utokov a predmetny utak zaradit do tejto klasifikacie.

Analyza bezpecnosti nie je bulvar ...

 

RE: ... analyza ...

Author: Lza | Date: 2009-12-03 17:40

pozrite, POC je priklad konkretnej zranitelnosti, cize od analyzy nema na mile daleko a v tomto priklade zvoleny POC bol spravny, nemozete predsa chciet aby ako POC bol pouzity napriklad remote script, ktory by harvestoval cookies atd. tou druhou vetou nerozumiem co ste chceli povedat. Myslim, ze pre siroku verejnost je dana zranitelnost vysvetlena dostatocne, nejake hlbkove definicie by boli zbytocne, pretoze by tomu nikto nerozumel. tiez si myslim, ze klasifikacie by boli zbytocne, mohli by posobit matuco. chapem aj vas postoj, ale niekedy je menej viac :)

 

Jombo na hrad !!

Author: P | Date: 2009-12-19 21:53

Jombo na hrad !!

 
Copyright © 2002-2006 Platon Group
Stránka používa redakčný systém Metafox
Na začiatok · Odkazový formulár · Prihláška
Upozorniť na chybu na PLATON.SK webstránke · Podmienky použitia · Ochrana osobných údajov