Autor Tópico: Séria vulnerabilidade XSS no SQL Builder  (Lida 793 vezes)

Yuri Esteves

  • Administrator
  • Expert
  • *****
  • Mensagens: 819
    • Email
Re:Séria vulnerabilidade XSS no SQL Builder
« Responder #15 Online: Julho 01, 2016, 11:26:26 am »
Prezados,

Na release v8.1.038, fizemos algumas mudanças na segurança das aplicações geradas.

 - Adicionado suporte a token CSRF. Opção disponivel na interface de segurança.
 - Adicionado opção na interface de Segurança, para evitar a visualização de aplicações que são chamadas através de ligações.
 - Adicionado opção 'Executar\Interpretar conteúdos em JavaScript' em campos Texto e Texto com Múltiplas Linhas em aplicações Consulta. (Proteção - Cross-Site-Script)
 - Adicionado opção para permitir ou não códigos JavaScript nos campos Texto e Texto Múltiplas Linhas. Proteção nos códigos (Cross-Site-Script)
 - Adicionado opção 'Remover as tags HTML' nas aplicações Consultas.

http://www.scriptcase.com.br/changelog-scriptcase/

Em relação ao SQLBuilder, estaremos verificando e posteriormente corrigindo nas próximas versões. Porém, a citação de Haroldo está correto.
"O "hacker" teria que ter acesso ao item do menu para acessar a página do SQL Builder. Se este hacker conseguir bular o menu  e entrar direto  na página do sqlbuilder não teria acesso aos bancos de dados pois não houve seleção de u projeto."

Anderson Mamede

  • Iniciante
  • **
  • Mensagens: 84
    • andersonmamede.com.br
Re:Séria vulnerabilidade XSS no SQL Builder
« Responder #16 Online: Julho 01, 2016, 11:46:06 am »
A citação do Haroldo não está correta, visto que quem usa o SQL Builder é o programador, e não o "hacker".


A única coisa que o "hacker" precisa fazer é inserir o texto contendo o script em um campo de uma aplicação qualquer, e quando o programador fizer um SELECT nessa informação pelo SQL Builder, o script vai ser executado.


Em momento nenhum o "hacker" precisa acessar o ambiente do Scriptcase. Ele só precisa inserir a informação através de uma aplicação de formulário. Só isso. Quem vai executar o script não é o "hacker", é o programador (mas sem saber!).


Isso é XSS. O hacker não executa nada, ele apenas insere informação (através de um simples cadastro). Ele faz com que outra pessoa execute.

Willian Fernando

  • Expert
  • *****
  • Mensagens: 1148
  • .....
    • Email
Re:Séria vulnerabilidade XSS no SQL Builder
« Responder #17 Online: Julho 01, 2016, 02:02:18 pm »
 - Adicionado opção 'Executar\Interpretar conteúdos em JavaScript' em campos Texto e Texto com Múltiplas Linhas em aplicações Consulta. (Proteção - Cross-Site-Script)

Esta aqui ja responde tudo, si tu deixar vai poder si não , não.
simples

Alias Anderson, si este é o problema porque então usar SC?

Anderson Mamede

  • Iniciante
  • **
  • Mensagens: 84
    • andersonmamede.com.br
Re:Séria vulnerabilidade XSS no SQL Builder
« Responder #18 Online: Julho 01, 2016, 03:37:43 pm »

@Yuri Esteves
Estas alterações na v8.1.038 parecem ótimas. O token deve ajudar bastante! Mas acredito que elas sejam apenas para a aplicação gerada pelo Scriptcase, certo? E não dentro do ambiente do Scriptcase (SQL Builder)...?


- Adicionado opção 'Executar\Interpretar conteúdos em JavaScript' em campos Texto e Texto com Múltiplas Linhas em aplicações Consulta. (Proteção - Cross-Site-Script)


Esta aqui ja responde tudo, si tu deixar vai poder si não , não.
simples


Essa nova opção, ao que me parece, se refere apenas às aplicações. Essa opção existe no SQL Builder? Comentei anteriormente sobre a opção "Mostrar conteúdo HTML" que resolveria o problema, mas ela só existe para campos de aplicações (no SQL Builder ela não existe).




Alias Anderson, si este é o problema porque então usar SC?


Minha intenção é apontar algo que pode ser melhorado, porque não adianta muito a aplicação desenvolvida estar segura, se houver brecha em outro lugar. Não sei qual o nível de seriedade das aplicações que você desenvolve, mas se você não se importa com a qualidade e a segurança de suas aplicações, é uma escolha sua. Mas eu me importo. Segurança é requisito mínimo para qualquer software.


Sua sugestão é que, ao invés de corrigir o provável problema, eu deixe de usar o Scriptcase? Se eu estiver equivocado quanto ao problema que estou relatando e ele não existir, ok. Então me mostre que o problema não existe ou apresente fatos. Porque até o momento, os testes que fiz comprovam que o problema existe sim.


Gravei este outro vídeo, talvez te ajude a entender melhor o problema.
https://youtu.be/NFZX3VNoHBg

Willian Fernando

  • Expert
  • *****
  • Mensagens: 1148
  • .....
    • Email
Re:Séria vulnerabilidade XSS no SQL Builder
« Responder #19 Online: Julho 01, 2016, 04:21:48 pm »
ahh agora deu pra entender o que tu queria explicar.

antes de ficar fazendo pipoca mostra de uma vez a que se refere rsrs
dai não fica comprido o tema.

Me retrato em quanto a minha resposta no post anterior
1 video vale mais que 1000 palavras rsrsr
« Última modificação: Julho 01, 2016, 04:24:08 pm por Willian Fernando »

Anderson Mamede

  • Iniciante
  • **
  • Mensagens: 84
    • andersonmamede.com.br
Re:Séria vulnerabilidade XSS no SQL Builder
« Responder #20 Online: Julho 01, 2016, 04:47:25 pm »

Não estava fazendo pipoca, tentei explicar várias vezes nos posts... ficou tão embananado assim? ahahhahaa
O problema de mostrar em vídeo é que acaba ensinando outras pessoas a explorar o problema...


Willian Fernando

  • Expert
  • *****
  • Mensagens: 1148
  • .....
    • Email
Re:Séria vulnerabilidade XSS no SQL Builder
« Responder #21 Online: Julho 01, 2016, 04:49:49 pm »

Não estava fazendo pipoca, tentei explicar várias vezes nos posts... ficou tão embananado assim? ahahhahaa
O problema de mostrar em vídeo é que acaba ensinando outras pessoas a explorar o problema...



sim porem da pra entender.
eu mesmo fiquei perdido no meio por isso de minha resposta , na qual me retrato anteriormente

Anderson Mamede

  • Iniciante
  • **
  • Mensagens: 84
    • andersonmamede.com.br
Re:Séria vulnerabilidade XSS no SQL Builder
« Responder #22 Online: Julho 01, 2016, 04:59:54 pm »
Bom, isso é verdade, com vídeo fica fácil de entender.


Sem problemas... tudo na paz! rs