Cross-Site Scripting уразливості в формах

22:45 13.04.2011

Серед цікавих векторів XSS атак, на які недостатньо звертають увагу веб розробники, є атаки на форми де використовуються різноманітні rich редактори (або коли веб розробники візуалізують дані в формах подібно до rich редакторів чи використовують AJAX). Cross-Site Scripting уразливості в таких формах можуть мати місце навіть при наявності фільтрації вхідних та віхідних даних.

До rich редакторів відносяться FCKeditor, CKEditor (це назва FCKeditor починаючи з третьої версії), TinyMCE та інші. Які додаються до форм, щоб надати користувачам можливості візульної обробки даних. А також подібні XSS уразливості можуть мати місце в веб додатках, що візуалізують контент.

Суть уразливості зводиться до того, що веб додаток (rich редактор або інший веб додаток) візуалізує отримані дані (вони можуть бути отримані від користувача, або з БД, куди вони були занесі так чи інакше від користувача). І навіть якщо у веб додатку є фільтрація вхідних і/або вихідних даних, коли спеціальні html символи замінюються на їхні сутності, це можна обійти і виконати XSS код. Для цього потрібно використати тег img та відповідний обробник (onerror чи onload).

За допомогою даного коду можна провести XSS атаку на подібні веб додатки. Тег img буде візуалізований в зображення і при цьому виконається код в браузері користувача:

<img src=’1′ onerror="javascript:alert(document.cookie)">

Про подібні уразливості я неодноразово писав за останні 4 роки: стосовно persistent XSS (в Relay та Drupal) та reflected XSS (в Relay, PHP-Nuke та Drupal). А також неодноразово зустрічав подібні дірки на різних сайтах. Враховуючи поширеність вищезгаданих веб додатків, дані уразливості стосуються мільйонів сайтів.


Одна відповідь на “Cross-Site Scripting уразливості в формах”

  1. MustLive каже:

    You can read this article on English in The Web Security Mailing List: Attacks via forms and clipboard.

Leave a Reply

You must be logged in to post a comment.