]

Friday, August 04, 2006

[HS] 沒有「看的到」的欄位就不可以 XSS? (Photo.xuite)

開站以來,筆者收到一些外界指教。對於 [HS] 這類文章的指教,筆者一向都是很謹慎處理的,一向會告誡大家絕對不能犯法,畢竟這是某資安界團體CEO所慎重交代大家的。(喔,澄清一點本站的HS爆料並非由該位 CEO 執筆,因為他老人家收山正派經營去了)

因為接下來的回應太長,可能塞不下欄位,於是筆者新開一篇專欄來寫 :)
在 xuitejoke@xuite 有一位 Qoo Audi 先生,對 XSS 是否能在 photo.xuite 實施攻擊存著強烈質疑的態度。

photoxss02

詳細的問與答在這裡。另外要請 Qoo Audi 先生原諒我公開它的悄悄話,因為此段悄悄話也與本篇文章有關
Qoo Audi (這則留言是悄悄話) 2006-08-02 21:36

Hi, 您好,

我很好奇 Xuite Photo 哪邊有 XSS Security issue。據我所知它並沒有自由欄位,使用者該如何加上其他 Script 呢?


----
筆者是念數學系的。對於邏輯關係上也很謹慎。回答之前筆者要先瞭解一下這位先生在說什麼。

  • 按照 Qoo Audi 先生的說法,若 P 則 Q 。「我朋友不知道什麼是 CISSP & LPIC-2 -> XSS attack 在 Photo.Xuite 不會成功 」;那換句話說,非Q則非P。「XSS attack 在 Photo.Xuite 會成功 ->我朋友知道什麼是 CISSP & LPIC-2

以下為筆者的證明式

photoxss

所以我們可以得出「我朋友知道什麼是 CISSP & LPIC-2 」。(噗,這是什麼鬼結論?)

----

  • 好吧,那我換個方式理解 Qoo Audi 先生到底是要講些什麼好了?他會問「我朋友知不知道什麼是 CISSP & LPIC-2?」前,一定有個Lama「他知道什麼是 CISSP &LPIC-2-> 我朋友不知道 -> 所以 XSS Attack 在 Photo.Xuite 不會成功」是成立的。


  • .....等等,這樣怪怪的。「Qoo Audi 先生知道這兩個證照,關 Hinet 能不能檔 XSS Attack 什麼事啊?」。除非又有個前提,「Qoo Audi 先生是 Hinet 負責此項業務的工程師,他知道有這兩張證照」。

  • 咦,但是好像我們還有一項還沒有證明耶。「知道這兩個證照就可以檔 XSS Attack 」?....不可能這麼爽吧,知道又不等於拿到。不過我好像證明過程寫太多了,直接給推出的結論好了XD。Qoo Audi 先生要講的是「Qoo Audi 先生有這兩張證照,而且他是 Hinet 負責此項業務的工程師。他有這兩張證照,所以 Photo.Xuite 可以抵擋 XSS 攻擊
  • 但是筆者覺得很奇怪的一點是:Web App Vuln 到底跟資訊安全管理、設備安全和Server安全的證照有什麼直接關係?還是 Qoo Audi 先生的認知是「Qoo Audi 有兩張安全證照 -> Qoo Audi 資安超強 -> Qoo Audi 在 Hinet 負責的業務絕對不可能有漏洞」?這個我們可能就不得而知了,可能還是要問一下本人會比較好。

另外,Qoo Audi 先生在悄悄話中又提到了「沒有自由欄位要怎樣輸入Script呢?」。我想,這位先生一定沒有參加 Hacks In Taiwan 2006 bf 大師今年有開示啊 ! 老師有叫你去聽,你就是沒去聽、沒去聽(摔筆)。


不過講到這個就扼腕,HIT 有個規定,凡在 Conference 中上台展示漏洞者,可得免費門票一張。筆者慨嘆就是太晚寫這個 blog 來挖洞,不然筆早就可以在這場研討會的門口賣大筆黃牛票了呀。


---
另外幫 HIT sandy 姐廣告一下,HIT 紀念 T恤還沒賣完,2005和 2006的都有,一件350元。買了不能檔 XSS Attack ,但是穿起來會很炫。請大家多多支持,可以上sandy姐的拍賣洽詢喔。

---
Upadte : 此篇刊出以後,N**k先生說他也想要刊廣告。如果您怕 PHP code出包的話,可以訂購 CodeSecure for PHP

另外,本站"目前" 「廣告不收費,收 0day」,謝謝。

0 Comments:

Post a Comment

Subscribe to Post Comments [Atom]

Links to this post:

Create a Link

<< Home