Онлайн консультант на сайте MIBEW - подверженность XSS атакам

Автор Тема: Онлайн консультант на сайте MIBEW - подверженность XSS атакам  (Прочитано 1020 раз)

Оффлайн ВикторияИАвтор темы

  • Бизнес оценка: (0)
  • КМС
  • *****
  • СПАСИБО: 3063
  • Сообщений: 4111
  • Карма: 191
  • и да прибудет с Вами Сила.
  • Награды Автор самой интересной темы Более одной тысячи спасибо КМС поисковой оптимизации
    • Заказ автобуса в Одессе
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 3063
    • Сообщений: 4111
    • Карма: 191
    • и да прибудет с Вами Сила.
    • Награды Автор самой интересной темы Более одной тысячи спасибо КМС поисковой оптимизации
      • Заказ автобуса в Одессе
Решила поставить на сайт онлайн консультанта, и на данный момент примеряю все популярные чаты. Сейчас присматриваюсь к MIBEW - в инете нашла множество положительных отзывов, а самое привлекательное то, что он ставится на свой сервер, что даёт независимость от сторонних ресурсов, и то что он сделан на открытом исходном коде - лишнее можно убрать, чего не хватает можно допилить.

Вопрос по поводу уязвимости - нашла что через него можно произвести XSS атаки  - мало что в этом понимаю - кто с этим сталкивался - подскажите насколько это реально, и как этого можно (если можно) избежать.

Заранее благодарна за любые мнения, советы.
« Последнее редактирование: 18-08-2016, 10:24:11 от ВикторияИ »


Оффлайн Старый

  • Бизнес оценка: (9, 100%)
  • Мастер
  • *****
  • СПАСИБО: 1714
  • Сообщений: 5567
  • Карма: 159
  • Ищу работу постоянную, удалённую с окладом.
  • Награды Более одной тысячи спасибо КМС поисковой оптимизации

Оффлайн Старый

  • Мастер
  • *****
  • Доп. информация
    • Бизнес оценка: (9, 100%)
    • СПАСИБО: 1714
    • Сообщений: 5567
    • Карма: 159
    • Ищу работу постоянную, удалённую с окладом.
    • Награды Более одной тысячи спасибо КМС поисковой оптимизации
нашла что через него можно произвести XSS атаки  - мало что в этом понимаю - кто с этим сталкивался - подскажите насколько это реально, и как этого можно (если можно) избежать.

XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника.

Другими словами, присутствие ошибок программистов. В каком-то месте они забыли проверить передаваймый код и/или заэкранировать символы.  :)

Если самопис, то постоянно проверять.
Если CMS, то своевременно всё обновлять, не только движок.

Вещь, конечно же, неприятная.
Для проверок использую плагин для Лисы https://addons.mozilla.org/en-GB/firefox/addon/xss-me/

ВикторияИ, а чем вам не нравится ChatZilla?
http://mozilla-russia.org/projects/chatzilla/

Тоже народное творчество, бесплатное, расширяемое.  :)

Оффлайн ВикторияИАвтор темы

  • Бизнес оценка: (0)
  • КМС
  • *****
  • СПАСИБО: 3063
  • Сообщений: 4111
  • Карма: 191
  • и да прибудет с Вами Сила.
  • Награды Автор самой интересной темы Более одной тысячи спасибо КМС поисковой оптимизации
    • Заказ автобуса в Одессе
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 3063
    • Сообщений: 4111
    • Карма: 191
    • и да прибудет с Вами Сила.
    • Награды Автор самой интересной темы Более одной тысячи спасибо КМС поисковой оптимизации
      • Заказ автобуса в Одессе
Для проверок использую плагин

ВикторияИ, а чем вам не нравится ChatZilla?
http://mozilla-russia.org/projects/chatzilla/

обязательно попробую...

Для проверок использую плагин для Лисы https://addons.mozilla.org/en-GB/firefox/addon/xss-me/

спасибо


Другими словами, присутствие ошибок программистов. В каком-то месте они забыли проверить передаваймый код и/или заэкранировать символы. 

якобы пишут что регулярно проверят, и в обновлениях устраняют ошибки...
Другими словами, присутствие ошибок программистов. В каком-то месте они забыли проверить передаваймый код и/или заэкранировать символы.

все равно не очень представляю - этот злоумышленник приписывает некие сценарии? Может изменив пути скриптов этого можно устранить?

Оффлайн Старый

  • Бизнес оценка: (9, 100%)
  • Мастер
  • *****
  • СПАСИБО: 1714
  • Сообщений: 5567
  • Карма: 159
  • Ищу работу постоянную, удалённую с окладом.
  • Награды Более одной тысячи спасибо КМС поисковой оптимизации

Оффлайн Старый

  • Мастер
  • *****
  • Доп. информация
    • Бизнес оценка: (9, 100%)
    • СПАСИБО: 1714
    • Сообщений: 5567
    • Карма: 159
    • Ищу работу постоянную, удалённую с окладом.
    • Награды Более одной тысячи спасибо КМС поисковой оптимизации
якобы пишут что регулярно проверят, и в обновлениях устраняют ошибки...

Это хорошо! Значит проект живёт.
Плохо другое, что регулярно. Значит автор - ученик.  :)
Обычно подобное изначально пытаются не допустить. Конечно же, всего сразу не учтёшь...
Но в лицензии, скорее всего есть слова - "на свой стрaх и риск".  ;)

все равно не очень представляю - этот злоумышленник приписывает некие сценарии? Может изменив пути скриптов этого можно устранить?

Изменением путей ничего не исправишь. Не в этом суть.
Как правило, используются GET-запросы.
При обращении к базе или обработчику показываются ошибки.
Читая ошибки и наблюдая поведение скрипта взломщик находит уязвимость, а потом в запрос вставляется код.
В результате можно добавить контент в базу, удалить что-то или внести изменения. Можно получить доступ к каким-то админ-ресурсам и т.д.  :)

Лечение одно - проверка, экранирование и управление поведением скрипта при ошибках.

Оффлайн ВикторияИАвтор темы

  • Бизнес оценка: (0)
  • КМС
  • *****
  • СПАСИБО: 3063
  • Сообщений: 4111
  • Карма: 191
  • и да прибудет с Вами Сила.
  • Награды Автор самой интересной темы Более одной тысячи спасибо КМС поисковой оптимизации
    • Заказ автобуса в Одессе
  • Доп. информация
    • Бизнес оценка: (0)
    • СПАСИБО: 3063
    • Сообщений: 4111
    • Карма: 191
    • и да прибудет с Вами Сила.
    • Награды Автор самой интересной темы Более одной тысячи спасибо КМС поисковой оптимизации
      • Заказ автобуса в Одессе
Лечение одно - проверка, экранирование и управление поведением скрипта при ошибках.

будем пробовать - Спасибо за помощь!


 

Похожие темы

  Тема / Автор Ответов Последний ответ
10 Ответов
5337 Просмотров
Последний ответ 01-03-2013, 11:17:14
от forward1987
0 Ответов
1144 Просмотров
Последний ответ 11-01-2013, 07:00:27
от Konnica
5 Ответов
2021 Просмотров
Последний ответ 27-03-2015, 09:38:06
от Lana7
11 Ответов
2847 Просмотров
Последний ответ 25-03-2015, 16:56:03
от Lana7
25 Ответов
6046 Просмотров
Последний ответ 18-08-2016, 08:24:43
от ВикторияИ