Websecurity - Веб безпека

14.11.2009

Після виявлення попередніх XSS та Content Spoofing уразливостей в FCKeditor, у липні, 08.07.2009, я знайшов нову Cross-Site Scripting уразливість в FCKeditor. Дірку я виявив на сайті одного мого клієнта. Про що найближчим часом повідомлю розробникам редактора.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

16.01.2010

XSS:

Це persistent XSS через Flash.

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000"><param name=movie value="http://site/xss.swf"><param name="allowscriptaccess" value="always"><embed src="http://site/xss.swf" allowscriptaccess="always"></embed></object>

Дана уразливість в самому редакторі, тому її можна використати на будь-якому сайті, що використовує FCKeditor в якості редактора для веб форм.

Уразливі FCKeditor 2.6.4 та попередні (та наступні) версії.

Розробник виправляти дану уразливість не став мотивуючи тим, що FCKeditor немає вбудованих XSS фільтрів і це задача кожного розробника, що його використовує, фільтрувати вхідні дані. І враховуючи, що даний текстовий редактор має багатий функціонал, не всі вектори XSS атак виправляються, що призводить до появи подібних XSS уразливостей (як у випадку сайта мого клієнта, де дана уразливість могла призвести до зараження всього сайта XSS-хробаком).

This entry was posted on 19:02 16.01.2010 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.