janne.is

A blog by Janne Ahlberg

Contact

E-mail:  first name dot last name at elisanet dot fi

PGP information / Fingerprint: FCB1 4FC6 DF60 4865 85F8 56F3 9B91 FD1F 45AE 8F42 / Key ID: 45AE8F42

Twitter: @JanneFI
Github: jannefi
LinkedIn: public profile
Pinterest: public profile
Blogspot: Janne’s corner

 

 

7 thoughts on “Contact

  1. Terve Janne!

    Poimin Hesarin artikkelista seuraavan quoten:
    “Virallisen arvion mukaan maailman verkkosivuista 50–55 prosentilla on Cross-site Scripting- eli XSS-haavoittuvuuksia. Oma arvioni on, että haavoittuvuuksia on peräti 60 prosentilla”

    Pistätkö jotain linkkiä tuohon “viralliseen” arvioon ja osaatko yhtään avata lisätietoja tuosta 60%.

    Itse toimin enemmän koodauspuolella uuden luomisessa, mutta aktiivisesti tutkin löydettyjä exploiteja ja niiden proof-of-concepteja lähinnä juuri sen takia, että omassa projektissa opittaisi myös muiden virheistä. Omasta “hihasta” heittäisin sellaisen luvun, että n. 10-20% web-saiteista sisältää XSS:n. Minun luvussa on haittapuolena se, että se on lähinnä arvaus. Kun en saitteja aktiivisesti kolua, niin ei ole mitään vertailupohjaa. Kuitenkin väittämä siitä, että yli puolessa maailman saiteista on escapeamaton eval() JavaScriptissä kuulostaa uskomattomalta.

    JaTu

    Like

  2. Terve,

    Tässä linkki yhteen hyvään lähteeseen: XSSn yleisyydestä. Vuonna 2007 arvio oli n. 80%. Arvio vaihtelee hieman lähteestä riippuen.

    Oma arvioni perustuu puhtaasti testaukseen: lähetetyt XSS haavoittuvuusraportit vs. testatut sivustot. Tosin määrä ei välttämättä ole tarpeeksi suuri tilastollisesti.

    JavaScript tason/DOM-haavoittuvuuksia on yllättävän vähän verrattuna serveri-puolen skripteihin. Syötteen putsaus täytyy yleensä tehdä serverin skripteissä.

    Like

    1. Kiitokset linkistä. En tullut tuota ajatelleeksikaan, että JavaScript-koodia voi tosiaan pyörittää jonkun input-mekanismin (esim. GET-parametrit) kautta.

      Onko olemassa joku softa, millä omaa saittia voisi härnätä? Sitä aina koodatessa haluaisi ajatella, että omat inputit on sanitoitu, mutta… Jos kuorman testaukseenkin on olemassa softaa, niin eikö tunnistettuihin parametreihin olisi jotain vastaavaa testityökalua?

      Like

      1. XSS testausohjelmistoja on niukalti. Parhaat lienevät selaimeen tehtyjä lisäosia. Juuri JavaScriptin takia kunnollinen testaus vaatii selaimen. Suosittelen testaustyökaluksi Firefoxia ilman lisäosia, koska siinä ei ole XSS estoja.

        Hyviä testikeisejä löytyy mm. OWASPin sivustolta

        Like

      2. Löysin erilaisia viritelmiä, mutta nämä 3 projektia vaikuttavat riittävän laadukkailta kokeiltavaksi:
        – OWASPin oma proxy: https://code.google.com/p/zaproxy/
        – XSS Me Firefoxille: https://addons.mozilla.org/en-US/firefox/addon/xss-me/
        – XSS Rays Chromelle: https://chrome.google.com/webstore/detail/xss-rays/kkopfbcgaebdaklghbnfmjeeonmabidj?hl=en-GB

        Tuo postaamasi OWASPin linkkilista on todella vaikuttava, ei noita kaikkia keksi kyllä mitenkään itse. Eli seuraavaksi etsintälistalle joku valmis HTML:n sanitointikirjasto. Ideoita sellaisesta?

        Like

      3. Omassa framessa on Smarty-pohjaiset viewit. Sillä käyttäjän syötettä esittäessä voi aina sanoa {$muuttuja|escape:htmlall} ja kaikki HTML-tagit tai entityt esitetään literaalina siten, kun käyttäjä ne kirjoitti.

        Ongelmaksi muodostuukin juuri tämäntyyppiset (kommentti-) kentät, joihin voi kirjottaa enemmän tarinaa + muotoilua. Siellä on käytännössä pakko sanitoida käyttäjän syöte tuon aiemmin lähettämäsi OWASPin 80 kohdan listan mukaan. Voisi helposti kuvitella, että jollain muullakin on sama ongelma, ja joku olisi jo tuosta listasta tehnyt jollekin kielelle kivan kirjastoimplementaation, jota voisi sitten käyttää itsekin. Eipä näy moista löytyvän.

        Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: