![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.gif){kind=icon}
Vertrouwd, dus Xss mag
Volgens Blackboard mogen 'vertrouwde' gebruikers rustig Cross Site Scripting technieken toepassen op een pagina, zoals te lezen in een e-mail dat ik kreeg na het melden van een lek:
Overigens was het iframe lang niet het enige, met src="javascript:" kon veel meer worden uitgehaald.
Voor de volledigheid: Zit je ergens op blackboard, en kun je in een course een mededeling (announcement) plaatsen, dan werkt het volgende:
<iframe src="javascript:window.alert(document.cookie);">
Ze melden dat 'instructors' gebruik kunnen maken van dit lek, maar studenten niet. Vrij scheve redenatie, zeker als je weet dat ik (als student) het lek wist te vinden. Dat iemand 'instructor' is bij een course betekend niet automatisch dat hij/zij geen student is. Bovendien kunnen instructors andere instructors benoemen. Hoe ver rijkt het vertrouwen?our Engineers have commented that while it is true that instructors can add an announcement containing the <iframe> code as you've reported, this is not deemed a security risk because instructors are considered trusted users. If a regular student were able to create a course announcement, then this would be deemed a security breach.
Overigens was het iframe lang niet het enige, met src="javascript:" kon veel meer worden uitgehaald.
Voor de volledigheid: Zit je ergens op blackboard, en kun je in een course een mededeling (announcement) plaatsen, dan werkt het volgende:
<iframe src="javascript:window.alert(document.cookie);">
 23-07
|
Stuif-Stuif, daar kun je opbouwen |
 14-01
|
Toeval? |
Reacties
Door
AtleX,
donderdag 28 februari 2008 18:50
Mijn lijst met security reports naar BB was ongeveer 90 items lang toen ik net een maand mocht 'genieten' van BB op de opleiding waar ik net begon. Het varieert van eenvoudige XSS hacks tot gewoon instructor kunnen worden via URL surfing. Het is gewoon naast de ultieme gebruiksonvriendelijkheid gewoon een ontzettend gevaarlijk pakket om te gebruiken.
Door
EdwinG,
donderdag 28 februari 2008 19:01
Hmm, dat is toch iets meer dan waar ik al bang voor was. Ik mag toch hopen dat van die 90 items de meeste ondertussen wel opgelost zijn.
Wel weet ik dat een 'assistent' zichzelf kan promoveren tot een leader (of gewoon leaders uit de course zetten). Volgens mij is het verschil tussen 'assistent' en 'leader' alleen de titel, en zijn de rechten gelijk.
Wel weet ik dat een 'assistent' zichzelf kan promoveren tot een leader (of gewoon leaders uit de course zetten). Volgens mij is het verschil tussen 'assistent' en 'leader' alleen de titel, en zijn de rechten gelijk.
Door
AtleX,
donderdag 28 februari 2008 19:38
Bijna allemaal zijn ze gelukkig gefixt, maar schokkend vond ik het wel. Je betaalt als school een klein vermogen voor het pakket, en dan krijg je een onhandelbaar gedrocht wat amper beveiligd is.
Door
mithras,
donderdag 28 februari 2008 22:16
Dat de beveiliging slecht was mocht er inderdaad nog eens bijkomen inderdaad. De gebruiksvriendelijkheid, onderhoudbaarheid en "toekomstgerichtheid" van de applicatie is al schrikbarend slecht. Dat er dus tig beveiligingslekken in zitten verbaasd me niets.
Helaas dat het zo gesteld is, en ze zoveel macht hebben. Het is namelijk een vrij standaard pakket binnen onderwijsinstellingen.
Helaas dat het zo gesteld is, en ze zoveel macht hebben. Het is namelijk een vrij standaard pakket binnen onderwijsinstellingen.
Door
EdwinG,
vrijdag 29 februari 2008 16:30
En meteen nog maar een lek gevonden. Blijkbaar is er nog veel te verbeteren aan het pakket.
Dit lek is er een uit de categorie XSRF, en is genoeg om een normale participant van een course tot leader te promoten, mits een leader of assistent een gecontroleerde website bezoekt
Tijd om te kijken of ik de algemene course waar iedereen van de opleiding in zit over kan nemen. (Technisch wel, alleen nog de juiste docent op de juiste pagina laten komen.)
Dit lek is er een uit de categorie XSRF, en is genoeg om een normale participant van een course tot leader te promoten, mits een leader of assistent een gecontroleerde website bezoekt
Tijd om te kijken of ik de algemene course waar iedereen van de opleiding in zit over kan nemen. (Technisch wel, alleen nog de juiste docent op de juiste pagina laten komen.)
Door
DOT,
vrijdag 29 februari 2008 21:33
Ik werd ook wel een beetje verdrietig toen ik een bestand wilde uploaden vanuit Ubuntu, maar die geblokkeerd werd door een stukje javascript dat er ongeveer zo uit zag:
code:
code:
1
2
3
4
5
6
7
8
9
10
11
| if(useragent == SafariForMac)
{
// Uber OS, can't fail!
}
else // must be Windows
{
if(itsActuallyLinux())
{
FAIL("You messed up! Do it right next time!");
}
} |
Door
m-m,
maandag 03 maart 2008 13:16
haha, wie durft er nog te denken dat Blackboard ook maar iets aan security doet... Het is bedroevend, vooral omdat ze er ook volledig geen interesse in hebben. Alle problemen die hier voorbij komen heb ik eerder gehoord (en zijn dus ook eerder gemeld), maar blijkbaar is het niet belangrijk.
Om te kunnen reageren moet je ingelogd zijn. Via deze link kun je inloggen als je al geregistreerd bent. Indien je nog geen account hebt kun je er hier één aanmaken.