WebsiteBaker Support (2.12.x) > Hilfe & Support (deutsch)

WB 2.12.0 XSS - Cross Site Scripting

(1/3) > >>

stef4n:
ich bins mal wieder  8-)

1.) mir fehlt eine Forumskategorie für die neue 2.12.0 (in dieser würde ich dann die gewünschte PageCloner Anfrage platzieren  :-) )
2.) nachdem nun das System Produktiv auf WB 2.12.0 und PHP 7.2.6 soweit stabil läuft habe ich vorgestern über das Open Bug Bounty Programm eine Mail erhalten welche XSS anmäkelt.

(ob Zufall oder nicht, mit der WB 3.8.1 hatte ich damit keine Probleme bzw. keine Meldungen)

Soll das ganze überhaupt ernst genommen werden? Ich denke ihr solltet in der Lage sein einzuschätzen ob hier tatsächlich relevante Probleme auftreten können, da ich bis auf die Standard Formular Felder im Kontakt keine Eingabemöglichkeite n auf der Seite zulasse.

Kann ich ggfs. global Vorkehrungen treffen welche der XSS Feststellung vorbeugt? Oder macht es Sinn sich mit dieser auseinanderzusetzen?

Danke wie immer



* Open Bug Bounty Program:   Create your bounty program now. It's open and free.
* Vulnerable Application:   [hidden until disclosure]
* Vulnerability Type:   XSS (Cross Site Scripting) / CWE-79

evaki:
Ohne konkrete Angaben kann da niemand was mit anfangen.
Wenn Du Dich durch zusätzliche Maßnahmen sicherer fühlst, kannst Du ja z.B. Dein Template entsprechend erweitern:
X-Frame-Options Header
X-XSS-Protection Header
Content Security Policy (CSP)
Referrer-Policy
Wenns beruhigt...

MfG. Evaki

Edit: Janz verjessen. Bei Versuchen mit SQL-Injektion im Script Suche schreit jeder Scanner auf. Application-error und CSRF gibts kostenlos dazu.
Bisher hat noch niemand gezeigt wie eine WB-Site (von außen!) zu knacken ist, bzw. wie sich aufgrund dieses Varhaltens  eine Tür auftut.
Bei Lücken in Modulen werde ich selbst aber hellhörig. Das ist wie ein Mitarbeiter mit Zange inne Tasche.

stef4n:
danke fürs Feedback Evaki.

Habe mal den Kontakt aufgenommen und folgende Info erhalten, dass es am Feedback Modul liegt:

site has xss vulnerability, it is possible to run potentially malicious script by sending crafted url please check for example https://www.xy.php/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E?fb_action=feedback the name of file path after "/xy.php/" path is echoed in application response, but to run script it is necessary to add "> string at the begining of script because it is treated as a closing tag and lets execute the rest of the script. I marked You Stefan below where script is returned:


<form name="fb_dialog" action="xy.php/"><script>alert(document.cookie)</script>#fb_anchor" method="post">
To patch it, it is necessary to filter and escaping special characters that user can use like ",>,/ etc. without them it will be much harder to run java script.

evaki:
Das Modul ist -wenn ich nicht irre- aus der gleichen Schmiede wie eines, das vor ein paar Tagen auch das XSS-Problem aufwies (Parser + .htt-form). Für die Beseitigung gibts von meiner Seite erstmal keine Lösung. Das hat mit dem (Programmieraufwand) zu tun, den ich nicht leisten kann, und wo ich auch fachlich in die Überforderung reinschliddern würde. Ich bin nur Laie, auch wenn ich bei einigen Problemen helfen kann. Warum und wo der Fehler auftritt ist klar festgehalten. An anderer Stelle wurde schon gesagt, daß der Aufwand nicht gering ist (uralt und php4). Möglicherweise macht sich einer daran zu schaffen, ders "aus den Ärmeln schütteln" kann.

Einzig mein Archiv könnt ich nach einer Alternative durchsuchen. Aber ich erinnere, daß das auch son altes Teil war.
MfG. Evaki

evaki:
Es gäbe da noch "comments" (siehe Anhänge).
Nur Mitglieder können da anscheinend posten. Habs mir nicht näher angeschaut, bis auf Funktion unter strict  :-D
MfG. Evaki

Navigation

[0] Message Index

[#] Next page