Sadržaj

lernu-forumo vundebla al XSS-atakoj (transpaĝara kodekzekuto)

od nornen, 3. lipnja 2016.

Poruke: 11

Jezik: Esperanto

nornen (Prikaz profila) 3. lipnja 2016. 17:14:20

Antaŭnokte mi ludis iom kun la bb-kapabloj de la forumo, kaj eltrovis ke miksante etikedojn [url] kaj [img] oni povas injekti javascript al la paĝaro. La js nur estas ekzekutata, kiam uzanto klikas sur ligilo, tamen tio ne multe gravas, ĉar ankaŭ eblas injekti CSS kaj sekve oni povas igi la ligilon kovranta la tutan videblan paĝon kaj negrave kie klikas la uzanto, li ĉiam ekzekutos la injektitan javascript.

Konsiderante ke vi konservas kaj la uzantnomon kaj [b]nesalitan[/b] md5-haŝon de la pasvorto en lokala kekseto, tiu injektita js povas ekzemple legi tiujn datumojn kaj sendi ilin al atakanto. Kun tiuj du datumoj atakanto povas identigi sin kiel alia uzanto, kaj se li malkalkulas la md5 ekz per ĉielarka tabelo, li povas provi se tiuj uzantnomo kaj pasvorto ankaŭ funkcias ĉe aliaj interretaj servoj, kiun uzas la atakita uzanto.

Mi komprenas, ke vi nun ellaboras la novan paĝaron, tamen eble estus oportune malfermi tiun ĉi truon.[/url]

erinja (Prikaz profila) 5. lipnja 2016. 11:41:17

Plej oportune, tamen, se oni malkovras manieron por ataki la paĝaron, se oni simple sendas la informojn al teamo@lernu.net, sen afiŝi la precizajn informojn pri kiel fari la atakon, al la publika interreto.

lagtendisto (Prikaz profila) 5. lipnja 2016. 13:35:15

Ĉu eble, ke oni jam povus aktivigi (plu sekureca?) forumon modulon de nova Lernu-versio?

erinja (Prikaz profila) 6. lipnja 2016. 15:27:42

spreecamper:Ĉu eble, ke oni jam povus aktivigi (plu sekureca?) forumon modulon de nova Lernu-versio?
Pardonu, mi ne komprenas vian komenton. Ĉu vi celas, ke nur registritaj uzantoj povus vidi la afiŝojn en la forumo? Ni ne intencas fari tion, kaj ajnokaze, iu ajn povas krei konton ĉi tie.

Estas malpermesite intence injekti kodon kiu damaĝas la paĝaron, oni povas perdi sian konton por tio. Se oni ial volas testi la sekurecon de la paĝaro per eksperimentado, sen riski perdi sian konton, estas plej bone ke tiu kontaktu nin unue por peti permeson, alie ni povus supozi ke tio estas malica - aparte se iu poste publike afiŝas la rezultojn de tia testo.

Se oni malkovras truon en la sekureco de la paĝaro, ni jes ja aprezas kiam oni atentigas nin pri tio, sed estas plej bone kiam oni atentigas nin private. Se oni publikigas tion al la tuta mondo, tio praktike estas invito al malbonuloj por ataki la paĝaron.

lagtendisto (Prikaz profila) 6. lipnja 2016. 17:28:51

erinja:Pardonu, mi ne komprenas vian komenton. Ĉu vi celas, ke nur registritaj uzantoj povus vidi la afiŝojn en la forumo? Ni ne intencas fari tion, kaj ajnokaze, iu ajn povas krei konton ĉi tie.
Mi supozis, ke eble la nova Lernu-sistemo estas partigi en moduloj de programaro. Unu modulo, la forum-modulo, alia modulo kiu enhavas lernenhavo, k.t.p.

erinja (Prikaz profila) 6. lipnja 2016. 20:14:19

Kiel tio helpus pri la problemo?

nornen (Prikaz profila) 6. lipnja 2016. 20:20:08

erinja:Kiel tio helpus pri la problemo?
Se eblus (kiel supozas spreecamper) lanĉi la novan forumon sendepende de la pliaj enhavoj de la nova lernu, kaj se samtempe la nova forumo ne estus vundebla, tio forigus la problemon de XSS.

erinja (Prikaz profila) 6. lipnja 2016. 20:27:52

A ha. Tio ne eblas. La nova lernu funkcios kun nova datumbazo. Por krei sendependan novan forumon, oni devus aŭ programi ĝin por funkcii kun du tute diversaj datumbazoj (t.e. la nova kaj la malnova), aŭ nur kun la nova datumbazo, kaj tio kreus problemojn poste pri la transiro (oni devus krei novan konton, kaj kiam la malnova datumbazo estos transprenita al la nova sistemo, oni devus eble perdi tiun novan konton? Mi tute ne scias).

Eble ni fermu la forumojn entute, sed jam estis sufiĉe da plendado kiam ni ajnkiale malŝaltis ajnan kapablon de la paĝaro pretige al la transiro kaj lanĉo.

nornen (Prikaz profila) 7. lipnja 2016. 04:08:11

erinja:Eble ni fermu la forumojn entute, sed jam estis sufiĉe da plendado kiam ni ajnkiale malŝaltis ajnan kapablon de la paĝaro pretige al la transiro kaj lanĉo.
Ĉu la planoj pri la estonto de lernu! fakte enhavas la fermon de la forumoj aŭ via respondo estas infaneca koleratako[1]?
Se la teamo fakte planas fermi la forumojn, mi priploras la decidon, tamen sendube la decido estas via.
Se la respondo estas infaneca koleratako, bone.
Se la teamo nek planas la fermon nek la respondo estas infaneca koleratako, kion celis vi komuniki (mi vere ne povas diveni)?

----
[1] Kiel oni diras "tantrum/berrinche/xjosq'inkil/beleidigte Leberwurst"?

lagtendisto (Prikaz profila) 7. lipnja 2016. 04:17:20

erinja:A ha. Tio ne eblas. La nova lernu funkcios kun nova datumbazo.
En ordo. Dankon por informo.

Natrag na vrh