https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:14:45 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#c1319 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=664 nospam@example.com (kravietz) Nie pamiętam, to jest rynek niszowy. Na innej uczelni zetknąłem się kiedyś z systemem napisanym przez jakąś firmę katowicką, który podobno działa w połowie uczelni w Polsce. Ja robiłem do tego mod_security bo miejscowi admini czuli się jakoś niepewnie :) Sat, 25 Jul 2009 11:39:39 +0200 https://archive.mroczna-zaloga.org/archives/664-guid.html#c1319 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#c1315 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=664 nospam@example.com (wampir) Aż ciśnie się pytanie na usta: które firmy? :) Sat, 25 Jul 2009 00:20:11 +0200 https://archive.mroczna-zaloga.org/archives/664-guid.html#c1315 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#c1307 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=664 nospam@example.com (Przemyslaw Skowron) Rozumiemy się bez słów :-) Fri, 24 Jul 2009 17:01:21 +0200 https://archive.mroczna-zaloga.org/archives/664-guid.html#c1307 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#c1299 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=664 nospam@example.com (kravietz) Takie systemy zwykle pisze jedna-dwie firmy i powielają to na całą Polskę, więc dziurawych uczelni może być więcej. Fri, 24 Jul 2009 10:30:51 +0200 https://archive.mroczna-zaloga.org/archives/664-guid.html#c1299 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#c1295 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=664 nospam@example.com (wampir) PoC, jak sama nazwa wskazuje, jest kompletnie nieprzydatnym fragmentem kodu, który ma pokazać, że coś się w jakiś sposób da zrobić, albo wprost przeciwnie :) Akurat w skracaniu widzę jednak pewien sens, można sobie łatwo wyobrazić sytuację, w której na stronie wyświetlanych jest kilkadziesiąt (kilkaset) obiektów, z których każdy "obarczony" jest długim identyfikatorem. Problemem nie jest nawet to, co pójdzie od klienta do serwera, ale to co do tego klienta musi dotrzeć. A jeśli tych klientów jest wielu, to od razu pojawia się większe wymaganie na przepustowość łączy. Ja wiem, że komputery są coraz wydajniejsze, dyski większe a łącza szybsze, ale jakoś mam opory :) Fri, 24 Jul 2009 00:06:39 +0200 https://archive.mroczna-zaloga.org/archives/664-guid.html#c1295 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#c1294 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=664 nospam@example.com (Marcin Gryszkalis) Patrzyłem sobie na Twój PoC i tak się zastanawiam - po co skracać identyfikatory - zmniejszać przestrzeń przeszukiwania, ryzykować kolizje itd. czemu nie generować kilobitowego klucza z dwóch sha512 opartych na różnych źródłach entropii. Biorąc pod uwagę, że najczęściej przesyłany jest jeden taki identyfikator, czasem 2-10 to narzut na rozmiar komunikacji jest minimalny. Ostatnio testowałem aplikację w ASP.NET, która przesyłała właściwie z każdego formularza pola hidden o rozmiarach 10-20KB (głównie informacje o stanie interfejsu itp) - i nikt nie narzekał na wydajność. Na marginesie - jeśli bardzo chcemy skrócić id to można je zakodować jako base64 zamiast gołego stringa szesnastkowego, da to ze 2 bity na bajcie zysku. Thu, 23 Jul 2009 23:51:41 +0200 https://archive.mroczna-zaloga.org/archives/664-guid.html#c1294 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#c1293 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=664 nospam@example.com (wampir) Pierwsza myśl - brak logowania. Przykładowo analizując logi zawierające request klienta (z parametrami) nie można stwierdzić kto do czego uzyskał dostęp. Brak będzie informacji o mapowaniu identyfikatora "tymczasowego" (tak go nazwijmy) z konkretnym obiektem. Można też wyobrazić sobie bardziej złożone sytuacje, choćby wymuszanie kontroli dostępu do danych na poziomie WAF (co samo w sobie jest dość karkołomne). W normalnej sytuacji potrzebna jest informacja kto do czego się może dostać. W przypadku wspomnianych rozwiązań jeszcze potrzebna będzie informacja jakie te obiekty mają obecnie (w danej chwili) identyfikatory "tymczasowe", a mogą się one zmieniać w zasadzie z każdym requestem (a w moim PoC nawet w obrębie jednego requestu jeden obiekt może być "wskazywany" przez różne identyfikatory). Pewnie dałoby się znaleźć kilka innych przypadków, ale zapewne ich pierwotną przyczyną będzie właśnie brak informacji o istniejącym w danej chwili mapowaniu identyfikator - obiekt. Thu, 23 Jul 2009 23:28:27 +0200 https://archive.mroczna-zaloga.org/archives/664-guid.html#c1293 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#c1292 https://archive.mroczna-zaloga.org/archives/664-niebezpieczna-luka-w-systemie-rejestracji-na-uj.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=664 nospam@example.com (Przemysław Skowron) To teraz pytanie :-) (chociaż zazwyczaj sam je wstawiasz w treść posta) W jakiej sytuacji prezentowany w OWASP ESAPI i Twoim PoC sposób mapowania oryginalnych identyfikatorów może utrudnić/uniemożliwić prace bezpieczenika? Ewentualnie czego w tym wszystkim brakuje by ten problem nie występował? Thu, 23 Jul 2009 22:06:39 +0200 https://archive.mroczna-zaloga.org/archives/664-guid.html#c1292