Új hozzászólás Aktív témák

• lafaty80 addikt

  #9060

  #9059 sztanozs

  2021-12-29 11:57:30

  Új Válasz

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  lafaty80

  addikt

  #9059 sztanozs

  #9059 sztanozs

  Ez egy komoly biztonsági hibalehetőség egyébként, ha a forrás nem ellenőrzött (illetve a csatorna nem biztonságos), akkor bármilyen rosszindulatú tartalom beinjektálható így.
  Vélelmezem, hogy
  - a rendszerben valahogy meg lehet adni a trusted source-okat és utána nem sivít emiatt;
  - a rendszer csak titkosított forrást (https, érvényes certificate-tel) fogad el trusted sourfce-nak.

  Most még annyit csináltam, hogy js oldalon készítettem egy külön htmlencode function-t, ami a json-os változó tartalmát kiszűri. Lehet választani hogy string vagy option vagy table a visszatérő érték, és ez alapján ő állítja elő kódot.
  De már 10 napja várom a support válaszát, hogy az eddigiek közül melyik lehetne elfogadni... hát nem kapkodnak.

• lafaty80 addikt

  #9057

  #9056 nevemfel

  2021-12-19 12:02:20

  Új Válasz

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  lafaty80

  addikt

  #9056 nevemfel

  #9056 nevemfel

  Nekem úgy tűnik, hogy itt a checkmarx kissé paranoiás. Nem harmadik féltől jön az ajax response.

  Az egyébként sokszor kellett minden prog nyelven a csapatnak kérnie, hogy vizsgálják felül. Meglátom most mit reagálnak.

• lafaty80 addikt

  #9048

  #9047 nevemfel

  2021-12-18 20:53:17

  Új Válasz

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  lafaty80

  addikt

  #9047 nevemfel

  #9047 nevemfel

  .innerHTML() <- ez jó lenne nekem, de ezt meg checkmarx nem veszi figyelembe.

  Ez mit jelent, hogy "nem veszi figyelembe"?
  innerHTML propertyvel tudsz beágyazni html-t anélkül, hogy escapelni kellene, és a böngésző nem fogja végrehajtani a beágyazott scripteket.

  Ezt írtam meg a support-nak én is, a válaszukat várom.

• lafaty80 addikt

  #9045

  #9044 martonx

  2021-12-18 18:40:01

  Új Válasz

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  lafaty80

  addikt

  #9044 martonx

  #9044 martonx

  Az a baj, hogy ez nem js kérdés.
  Önmagában, amit vizsgálnak valóban tud biztonsági probléma lenni, azaz a hiba jelzésük korrekt.
  Bármikor előfordulhat, hogy amit ily módon betöltesz, abban van valami vicces javascript.
  Ezt ők nyilván nem is fogják tudni helyetted megoldani. Gondolnám, hogy valahogy lehet azért a checkmarx-ot paraméterezni, hogy mire riasszon be, és mire nem.

  Szóval a lehetőséeig szerintem az alábbiak:
  1. újraírod a programodat, hogy abszolút ne használj ilyen js oldani utólagos kód betöltéseket (pl. mindent server side renderelsz, vagy ezeréves jquery helyett elkezdesz modern frameworköket használni Vuejs/React/Angular)
  2. felparaméterezed a checkmarxot / felveszed a supportjukkal a kapcsolatot, hogy ignorálja ezt a biztonsági hibát.

  Sajnos jelenleg ez a verzió van, és a support válaszát várom.
  De jelenleg nálunk sok, az elődöm által írt tool megy ilyen és hasonló megoldással, tehát az újraírás az elkövetkező időszakban nem opció.
  A kérdésem ide azért jött, hogy lehet-e megoldás js/jquery-ben, ha support nem fogja ignorálni a hibát.

• lafaty80 addikt

  #9043

  #9042 martonx

  2021-12-17 23:38:54

  Új Válasz

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  lafaty80

  addikt

  #9042 martonx

  #9042 martonx

  Szia!

  Szólok, hogy nem azért nem válaszolunk, mert nem foglalkozunk a problémáddal, hanem mert nem küldtél példa jsfiddle / codepen kódot, amúgy meg szvsz rajtad kívül senkinek fingja sincs, hogy mi lehet az a checkmarx

  Ok, értem.

  Checkmarx integrates automated software security technologies into DevOps
  A probléma, ami most kezdte el csak zavarni a rendszert: DOM-based vulnerabilities

  jsfiddle a kódot most dobtam össze (ne a szerkezetét nézzétek ), illetve a stackoverflow-ról szedtem egy escapeHTML megoldást, próbaképpen...
  "data" lesz amit visszakapok, ez lehet ilyen formában, vagy json-ba ágyazva, igazából mindegy, ezért ezt használtam.

  Most nálam a sima .append van beállítva erre checkmarx ezt mondja nekem: "The application's $.post embeds untrusted data in the generated output with append"

  Sajnos legtöbb esetben csak url címre és sima string-re találok megoldást, az én verziómra nem.
  Az a hab a tortán, hogy konkrét megoldási lehetőséget sem ajánl fel checkmarx, csak a sebezhetőséget írja le, tehát nem tudom milyen módon tudnám a számára elfogadható megoldást megcsinálni

  Bár nem fontos szerintem a program php-s, és a $.post() is egy php-t hív meg, onnan jön vissza az eredmény(data) ide.

  Remélem így elég lesz/lehet
  

• lafaty80 addikt

  #9041 2021-12-17 17:09:10

  Új Válasz

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  lafaty80

  addikt

  Sziasztok,

  Belefutottam most egy idegesítő "hibába", checkmarx-nál.
  Van pár tool, ahol jquery-s $.post() response-át betöltöm egy div-be.
  Normál esetben ha csak szöveg jön vissza tettem bele encode-ot , azzal nincs is gond.
  A gond ott kezdődik, hogy van olyan, hogy komplett táblázatot vagy form elemeket(select option részét) adom vissza. Ezt viszont bukom minden esetben, ha encode-olom pl.
  .html() <- ehhez már encode kellene alapból.
  .innerHTML() <- ez jó lenne nekem, de ezt meg checkmarx nem veszi figyelembe.
  .append() <- ez is jó lenne nekem, de ezt sem veszi figyelembe a checkmarx

  Van erre ötlet vagy megoldás?

Új hozzászólás Aktív témák