межсайтовый скриптинг (XSS) в друпале

Аватар пользователя pash pash 20 июня 2005 в 11:14

Получил отчет системы мониторинга информационной безопасности XSpider 7...

(cм. html-док в аттаче т.к. сюда копирнуть не получается - не постится =(((

собсна говоря что делать то, вроде последний секьюрити-патч установлен? насколько я понимаю - дырка в модуле user?

ВложениеРазмер
Иконка HTML 25E1370D.html10.57 КБ

Комментарии

Аватар пользователя Nick Nick 20 июня 2005 в 13:14

Ну.. И чего Вы тут нас в заблуждение вводите?
Нефига не последняя версия у Вас!
Читать: http://drupal.ru/node/1047

Проверял на своем сайте, с версией 4.5.3, ввожу email
XSS@<xscript>XSS</xscript>.com
получаю ответ:
"Адрес электронной почты XSS@XSS.com не корректен."
Так что в последней версии все в порядке. Обновляйтесь.
(можете сами проверить у меня не сайте... в подписи)

--
USU-Lug http://usu-lug.org.ru

Аватар пользователя pash pash 20 июня 2005 в 13:21

Перепроверил всё сам сначала, дата обновления модуля user.module на сайте 2 июня. v 1.407.2.12 2005/06/01.

да и приглядитесь к отчету - там в результатах исполнения скрипта как раз данная строчка и выводится:

The e-mail address XSS@XSS.com is not valid.

а вот к чему это всё - непонятно Smile

Аватар пользователя Nick Nick 20 июня 2005 в 15:45

Посмотрел повнимательнее...
Твой сканер рукается на то, что введеный в поле тэг отображается на странице. Только в тэге как я понимаю ничего страшного нет. Вот если бы он пропускал... А не пропускает Smile
Конечно, пользователь может какой-нибудь style тэг. Да, дизайн попортится, но пользователь сам виноват. Нефиг всякую гадость писать Smile

Вообщем: Главное, чтобы Друпал не согласился создать аккаунт с мылом, которое содержит тэг. Он и не соглашается.
И чтобы Друпал не выводил обратно тэг <script> - он и не выводит (именно в виде тэга).

Поэтому, можно сказать, что у хспайдера параноя.
--
USU-Lug http://usu-lug.org.ru

Аватар пользователя Nick Nick 20 июня 2005 в 18:35

Угу... Тогда может ты объяснишь что за замечательный тэг xscript? Может я просто чего-то не понимаю?

Я понимаю надо боятся тэга script - это да, это плохо ... Но, script он тебе не разрешит ввести вообще. Получишь короткий ответ в 1ну строку:
"Terminated request because of suspicious input data."
А в чем опастность xscript?
Погуглил слегка. Но, никакого скриптового языка, который бы ограничивался тэгами xscript не нашел. Плохо искал?

--
USU-Lug http://usu-lug.org.ru

Аватар пользователя arsart arsart 20 июня 2005 в 23:50

не стоит, т.к. тебя в мягкой форме попросят доказать чем действительно опасен xscript, а то что .m проводит тестирование сайтов на уязвимость с помощью xspider7, т.к. это внутривенно. Так, для проформы...