Security: Cross-Site-Scripting related issue

Hier finden YaCy User Hilfe wenn was nicht funktioniert oder anders funktioniert als man dachte. Bei offensichtlichen Fehlern diese bitte gleich in die Bugs (http://bugs.yacy.net) eintragen.
Forumsregeln
In diesem Forum geht es um Benutzungsprobleme und Anfragen für Hilfe. Wird dabei ein Bug identifiziert, wird der thread zur Bearbeitung in die Bug-Sektion verschoben. Wer hier also einen Thread eingestellt hat und ihn vermisst, wird ihn sicherlich in der Bug-Sektion wiederfinden.

Security: Cross-Site-Scripting related issue

Beitragvon LA_FORGE » Sa Jan 28, 2012 9:43 am

Guten Morgen,

ich bekomme auf meinem Macbook im Safari auf der YaCy-Console mehrere Popups, erst steht da 123 mehrere male hintereinander, dann: "xss by saurabh".

Nun, das machte mich stutzig. Als ich ein- bis zweimal gestutzt hatte :D (Heinz Erhardt) :D habe ich mal im Background dieses besagten saurabh recherchiert. Diese Recherche hat ergeben, dass der Herr sich aktiv mit diesem Thema befasst. 200 dieser Popups später, wusste ich auch, dass es ein Penetrationstest war.

Gibt es in der Community jemand, der sich aktiv mit Security-Fragen befasst? Wollt ihr analog zu den anderen DoS-Protections im Code dafür einen Schutz einbauen?

Viele Grüße

Stefan
Zuletzt geändert von LA_FORGE am Sa Jan 28, 2012 10:02 am, insgesamt 1-mal geändert.
LA_FORGE
 
Beiträge: 559
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Security: Cross-Site-Scripting related issue

Beitragvon LA_FORGE » Sa Jan 28, 2012 9:58 am

LA_FORGE hat geschrieben:200 dieser Popups später, wusste ich auch, dass es ein Penetrationstest war.


So, habe die IP ausfindig gemacht, um 13:37 Uhr wird zurück geschossen :P
LA_FORGE
 
Beiträge: 559
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Security: Cross-Site-Scripting related issue

Beitragvon Lotus » Sa Jan 28, 2012 11:49 am

Das XSS-Thema bin ich mal angegangen.
Auf welcher Seite kommt diese Meldung? Ein Quelltext-Ausschnitt (oder den gesamten) mit besagter Meldung wäre dann auch hilfreich um die Fehlerstelle sofort zu identifizieren.

Netter als zurückpöbeln wäre eine Email mit der Nachfrage wo er überall fündig geworden ist.
Lotus
 
Beiträge: 1699
Registriert: Mi Jun 27, 2007 3:33 pm
Wohnort: Hamburg

Re: Security: Cross-Site-Scripting related issue

Beitragvon LA_FORGE » Sa Jan 28, 2012 12:25 pm

Da hast du Recht, ich schreib' ihm mal eine Mail. Es war auf der Status.html-Seite des Peers. Habe leider keine Ahnung von Java, sonst würde ich mir den Code mal anschauen.
LA_FORGE
 
Beiträge: 559
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Security: Cross-Site-Scripting related issue

Beitragvon LA_FORGE » Sa Jan 28, 2012 12:36 pm

Mal was Anderes: Kann einer von euch bitte 0000075 machen? Es wäre doch eine tolle Möglichkeit von den Seiten die kaum im Index vorhanden sind einen Crawl zu starten, um damit dann auch wieder unser Freeworld zu bereichern.
LA_FORGE
 
Beiträge: 559
Registriert: Sa Okt 11, 2008 5:24 pm

Re: Security: Cross-Site-Scripting related issue

Beitragvon Lotus » Sa Jan 28, 2012 1:28 pm

Ich habe mir die Status.html und das Terminal noch einmal angeschaut, und halte es für eine sehr geringe Wahrscheinlichkeit, dass dort Code eingeschleust werden kann. Dennoch habe ich 2 Verbesserungen für "String-puts" eingefügt.
Lotus
 
Beiträge: 1699
Registriert: Mi Jun 27, 2007 3:33 pm
Wohnort: Hamburg

Re: Security: Cross-Site-Scripting related issue

Beitragvon LA_FORGE » Sa Jan 28, 2012 1:34 pm

Vielen Dank!!
LA_FORGE
 
Beiträge: 559
Registriert: Sa Okt 11, 2008 5:24 pm


Zurück zu Fragen und Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste

cron