Al contingut

lernu-forumo vundebla al XSS-atakoj (transpaĝara kodekzekuto)

de nornen, 3 de juny de 2016

Missatges: 11

Llengua: Esperanto

nornen (Mostra el perfil) 3 de juny de 2016 17.14.20

Antaŭnokte mi ludis iom kun la bb-kapabloj de la forumo, kaj eltrovis ke miksante etikedojn [url] kaj [img] oni povas injekti javascript al la paĝaro. La js nur estas ekzekutata, kiam uzanto klikas sur ligilo, tamen tio ne multe gravas, ĉar ankaŭ eblas injekti CSS kaj sekve oni povas igi la ligilon kovranta la tutan videblan paĝon kaj negrave kie klikas la uzanto, li ĉiam ekzekutos la injektitan javascript.

Konsiderante ke vi konservas kaj la uzantnomon kaj [b]nesalitan[/b] md5-haŝon de la pasvorto en lokala kekseto, tiu injektita js povas ekzemple legi tiujn datumojn kaj sendi ilin al atakanto. Kun tiuj du datumoj atakanto povas identigi sin kiel alia uzanto, kaj se li malkalkulas la md5 ekz per ĉielarka tabelo, li povas provi se tiuj uzantnomo kaj pasvorto ankaŭ funkcias ĉe aliaj interretaj servoj, kiun uzas la atakita uzanto.

Mi komprenas, ke vi nun ellaboras la novan paĝaron, tamen eble estus oportune malfermi tiun ĉi truon.[/url]

erinja (Mostra el perfil) 5 de juny de 2016 11.41.17

Plej oportune, tamen, se oni malkovras manieron por ataki la paĝaron, se oni simple sendas la informojn al teamo@lernu.net, sen afiŝi la precizajn informojn pri kiel fari la atakon, al la publika interreto.

lagtendisto (Mostra el perfil) 5 de juny de 2016 13.35.15

Ĉu eble, ke oni jam povus aktivigi (plu sekureca?) forumon modulon de nova Lernu-versio?

erinja (Mostra el perfil) 6 de juny de 2016 15.27.42

spreecamper:Ĉu eble, ke oni jam povus aktivigi (plu sekureca?) forumon modulon de nova Lernu-versio?
Pardonu, mi ne komprenas vian komenton. Ĉu vi celas, ke nur registritaj uzantoj povus vidi la afiŝojn en la forumo? Ni ne intencas fari tion, kaj ajnokaze, iu ajn povas krei konton ĉi tie.

Estas malpermesite intence injekti kodon kiu damaĝas la paĝaron, oni povas perdi sian konton por tio. Se oni ial volas testi la sekurecon de la paĝaro per eksperimentado, sen riski perdi sian konton, estas plej bone ke tiu kontaktu nin unue por peti permeson, alie ni povus supozi ke tio estas malica - aparte se iu poste publike afiŝas la rezultojn de tia testo.

Se oni malkovras truon en la sekureco de la paĝaro, ni jes ja aprezas kiam oni atentigas nin pri tio, sed estas plej bone kiam oni atentigas nin private. Se oni publikigas tion al la tuta mondo, tio praktike estas invito al malbonuloj por ataki la paĝaron.

lagtendisto (Mostra el perfil) 6 de juny de 2016 17.28.51

erinja:Pardonu, mi ne komprenas vian komenton. Ĉu vi celas, ke nur registritaj uzantoj povus vidi la afiŝojn en la forumo? Ni ne intencas fari tion, kaj ajnokaze, iu ajn povas krei konton ĉi tie.
Mi supozis, ke eble la nova Lernu-sistemo estas partigi en moduloj de programaro. Unu modulo, la forum-modulo, alia modulo kiu enhavas lernenhavo, k.t.p.

erinja (Mostra el perfil) 6 de juny de 2016 20.14.19

Kiel tio helpus pri la problemo?

nornen (Mostra el perfil) 6 de juny de 2016 20.20.08

erinja:Kiel tio helpus pri la problemo?
Se eblus (kiel supozas spreecamper) lanĉi la novan forumon sendepende de la pliaj enhavoj de la nova lernu, kaj se samtempe la nova forumo ne estus vundebla, tio forigus la problemon de XSS.

erinja (Mostra el perfil) 6 de juny de 2016 20.27.52

A ha. Tio ne eblas. La nova lernu funkcios kun nova datumbazo. Por krei sendependan novan forumon, oni devus aŭ programi ĝin por funkcii kun du tute diversaj datumbazoj (t.e. la nova kaj la malnova), aŭ nur kun la nova datumbazo, kaj tio kreus problemojn poste pri la transiro (oni devus krei novan konton, kaj kiam la malnova datumbazo estos transprenita al la nova sistemo, oni devus eble perdi tiun novan konton? Mi tute ne scias).

Eble ni fermu la forumojn entute, sed jam estis sufiĉe da plendado kiam ni ajnkiale malŝaltis ajnan kapablon de la paĝaro pretige al la transiro kaj lanĉo.

nornen (Mostra el perfil) 7 de juny de 2016 4.08.11

erinja:Eble ni fermu la forumojn entute, sed jam estis sufiĉe da plendado kiam ni ajnkiale malŝaltis ajnan kapablon de la paĝaro pretige al la transiro kaj lanĉo.
Ĉu la planoj pri la estonto de lernu! fakte enhavas la fermon de la forumoj aŭ via respondo estas infaneca koleratako[1]?
Se la teamo fakte planas fermi la forumojn, mi priploras la decidon, tamen sendube la decido estas via.
Se la respondo estas infaneca koleratako, bone.
Se la teamo nek planas la fermon nek la respondo estas infaneca koleratako, kion celis vi komuniki (mi vere ne povas diveni)?

----
[1] Kiel oni diras "tantrum/berrinche/xjosq'inkil/beleidigte Leberwurst"?

lagtendisto (Mostra el perfil) 7 de juny de 2016 4.17.20

erinja:A ha. Tio ne eblas. La nova lernu funkcios kun nova datumbazo.
En ordo. Dankon por informo.

Tornar a dalt