ExBB Community ExBB Community
 Сайт проекта ExBB Общение объединяет!
Войдите на форум при помощиВойти через loginza
 Чат на форуме      Помощь      Поиск      Пользователи     BanList BanList


 Страниц (5): [1] 2 3 4 5 »   

> Без описания
Перегарыч
Отправлено: 18 августа 2011 — 02:19
Post Id


Пользователь
Newbie


Покинул форум
Сообщений всего: 26
Дата рег-ции: Авг. 2011  
Репутация: 5




yura3d, была отправлена уязвимость. Уязвимость - Cross Site Request Forgery (Межсайтовая подделка запроса). Прошу не флудить в теме, админу отписать.

P.S. Отправил еще nikk, дабы развеять нагнанный туман. Улыбка

(Отредактировано автором: 18 августа 2011 — 09:20)

 
 
yura3d
Отправлено: 18 августа 2011 — 08:27
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




Перегарыч пишет:
yura3d, была отправлена уязвимость. Уязвимость - Cross Site Request Forgery (Межсайтовая подделка запроса). Прошу не флудить в теме, админу отписать.

Благодарю за предоставленную информацию, сегодня же будет выпущена заплатка
(Добавление)
Собственно, она готова. Откройте файл profile.php, найдите строки:
CODE:
if ($fm->_POST === FALSE) {
$fm->_Message($fm->LANG['MainMsg'],$fm->LANG['CorrectPost']);
}

и замените их строками:
CODE:
if ($fm->_POST === FALSE || !isset($_SESSION['token']) || $_SESSION['token'] != $fm->_Intval('token')) {
$fm->_Message($fm->LANG['MainMsg'],$fm->LANG['CorrectPost']);
}
unset($_SESSION['token']);

Затем найдите строку:
CODE:
$hidden = ($fm->exbb['avatars'] === TRUE && $fm->exbb['avatar_upload'] === TRUE) ? '<input type="hidden" name="MAX_FILE_SIZE" value="'.$fm->exbb['avatar_size'].'">':'';

и над ней разместите строку:
CODE:
$_SESSION['token'] = $token = mt_rand(100000, 999999);

Наконец, откройте файл templates/ваш_скин/profile.tpl, найдите строку:
CODE:
<input type=hidden name="action" value="savemodify">

и под ней разместите строку:
CODE:
<input type="hidden" name="token" value="{$token}">

Последнюю правку необходимо повторить для всех установленных на форуме скинов (тем оформления)
 
 
Перегарыч
Отправлено: 19 августа 2011 — 12:47
Post Id


Пользователь
Newbie


Покинул форум
Сообщений всего: 26
Дата рег-ции: Авг. 2011  
Репутация: 5




Почему не исправить при смене пароля вводить текущий? При смене почтового ящика, подтверждение с нового.

(Отредактировано автором: 19 августа 2011 — 13:01)

 
 
BON
Отправлено: 19 августа 2011 — 14:52
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




Перегарыч, кстати хорошее замечание. видел такое на многих форумах
 
 
Перегарыч
Отправлено: 19 августа 2011 — 15:15
Post Id


Пользователь
Newbie


Покинул форум
Сообщений всего: 26
Дата рег-ции: Авг. 2011  
Репутация: 5




Удалите это сообщение.

(Отредактировано автором: 19 августа 2011 — 16:47)

 
 
BON
Отправлено: 19 августа 2011 — 15:30
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




Перегарыч, так снова тут возникает вопрос. Всё должно тогда проверяться со стороны сервера а не просто через value в которое можно написать что угодно. Я правильно вообще мыслю или как? Я просто не програмер

Ещё сразу попутно вопрос: вы типо профи хакер или только багоискатель ?
Просто такая простенькая скажем так фича, как я погляделУлыбка
 
 
Перегарыч
Отправлено: 19 августа 2011 — 15:38
Post Id


Пользователь
Newbie


Покинул форум
Сообщений всего: 26
Дата рег-ции: Авг. 2011  
Репутация: 5




Сервер выполняет запрос, "Ваш Профиль" у всех тотже. Без подтверждения текущего пароля делай что хочешь, как Вам не понять.

P.S. По поводу фича, это видео для конкурса и согласно его условий. Оно не показавает как применить а просто показывает уязвимость. А как применить это уже отдельная статья.

(Отредактировано автором: 19 августа 2011 — 16:01)

 
 
BON
Отправлено: 19 августа 2011 — 16:22
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




Перегарыч, а чего ссылочку то убрали?
 
 
Перегарыч
Отправлено: 19 августа 2011 — 16:34
Post Id


Пользователь
Newbie


Покинул форум
Сообщений всего: 26
Дата рег-ции: Авг. 2011  
Репутация: 5




Удалите это сообщение.

(Отредактировано автором: 19 августа 2011 — 16:47)

 
 
BON
Отправлено: 19 августа 2011 — 16:47
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




ну скиньте в личку если можно.
 
 
BON
Отправлено: 19 августа 2011 — 19:28
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




yura3d пишет:
Благодарю за предоставленную информацию, сегодня же будет выпущена заплатка
(Добавление)
Собственно, она готова. Откройте файл profile.php, найдите строки:

Юр, если заплатка стоит на этом форуме то это фигня а не заплатка, она не помогает.
Предлагаю ввести капчу на страницу профиля, чтобы все изменения который были вступали в силу после того как введутся цифры с капчи. Такое видел на многих форумах.
Так же предлагаю переделать страницу профиля как предложил перегарыч: сделать не 1 поле для пароля, а 3: 1е для ввода старого пароля, 2е для введения нового пароля, 3е для повтора нового пароля.

Для начала думаю надо попробовать просто капчу.
 
 
Перегарыч
Отправлено: 19 августа 2011 — 19:34
Post Id


Пользователь
Newbie


Покинул форум
Сообщений всего: 26
Дата рег-ции: Авг. 2011  
Репутация: 5




Для начала хватит на любое подтверждение изменения ввести текущий пароль.
 
 
yura3d
Отправлено: 20 августа 2011 — 07:29
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




BON пишет:
Так же предлагаю переделать страницу профиля как предложил перегарыч

Вы больше слушайте то, что пишет этот самый Перегарыч. А заодно попереходите по ссылкам, что он оставляет. Во-первых, на эти самые ссылки ругается Касперский (так что ещё неизвестно, что Вы там могли подцепить), во-вторых, там размещается скрипт, использующий эту самую уязвимость, и этот Перегарыч потом пытается получить доступ к Вашим профилям, судя по логам форума. Вот он пытается проверить, какие профили удалось взломать (разумеется, с теми, кто не переходил по его ссылкам, вышел облом):
Цитата:
21:24:42 :: Гость :: Вход с неверными данными (roma1 :: 123qwezxcasd7) :: 217.118.92.116
21:24:07 :: Гость :: Вход с неверными данными (pauk :: 123qwezxcasd7) :: 217.118.92.116
21:23:35 :: Гость :: Вход с неверными данными (alexx1 :: 123qwezxcasd7) :: 217.118.92.116
21:20:41 :: Гость :: Вход с неверными данными (bon :: 123qwezxcasd7) :: 217.118.92.116
21:20:11 :: Гость :: Вход с неверными данными (pauk :: 123qwezxcasd7) :: 217.118.92.116
21:19:44 :: Гость :: Вход с неверными данными (alexx1 :: 123qwezxcasd7) :: 217.118.92.116

Но когда ничего не вышло, пришлось входить под своим логином:
Цитата:
21:31:29 :: Перегарыч :: Выполнен вход :: 217.118.92.116


BON пишет:
Юр, если заплатка стоит на этом форуме то это фигня а не заплатка, она не помогает.

До сегодняшнего дня у меня не было возможности установить заплатку на этом форуме, этим видимо и пользуется нечистый на руку Перегарыч. К слову, он же бывший (забаненный) Смайлик. Но сейчас у меня такая возможность есть, и заплатка будет установлена в течение ближайших минут
(Добавление)
Всё, заплатка на этом форуме установлена. А Вам, BON, если Вы переходили по ссылкам, оставленным Перегарычем, рекомендую проверить комп на вирусы.

BON пишет:
Перегарыч, а чего ссылочку то убрали?

А там вирусы, чего ж тут непонятного. Зачем ему лишний раз светиться? Он наверное теперь может красть Ваши пароли и безо всякой уязвимости (если Вы переходили по его ссылкам), и не только от этого форума, но и от других сайтов, которыми Вы пользуетесь (помните историю недельной давности с кражей паролей в Facebook ?) Так что сканируйте теперь комп, желательно последним Каспером, т.к. последний NOD32, например, на его ссылки не ругается
 
 
Перегарыч
Отправлено: 20 августа 2011 — 07:52
Post Id


Пользователь
Newbie


Покинул форум
Сообщений всего: 26
Дата рег-ции: Авг. 2011  
Репутация: 5




yura3d, была ошибка в файле. Убрал ее и проверили с BON, уязвимость осталась.
Какой вирус, редирект скрытый и сниффер. На это и кричало. Не хотел через енкодер все прогонять. Проверяйте, если Вам как вижу заняться нечем. Кстати писал, видео попало в конкурс. На таких форумах не попадет не проверив.

(Отредактировано автором: 20 августа 2011 — 07:55)

 
 
yura3d
Отправлено: 20 августа 2011 — 08:01
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




Перегарыч
Вопросы остаются открытыми. Зачем Вы ссылки-то удалили? Во-вторых, с какой целью пытались тут входить под логинами других пользователей?
 
 
Страниц (5): [1] 2 3 4 5 »
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)
« Уязвимости »

> Похожие темы: Cross Site Request Forgery
Темы Форум Информация о теме Обновление
Генератор карты сайта
sitemap generator
Раскрутка Ответов: 16
Автор темы: mastersound
18 апреля 2015 — 17:53
Автор: shyuser
Возможно ли самому на форуме генерирвать sitemap.xml и есть ли мод к нему?
Решение проблем Ответов: 2
Автор темы: Romax
15 мая 2010 — 14:56
Автор: Romax
400 Bad Request в Nginx
HTML Ответов: 2
Автор темы: Gori
7 декабря 2014 — 07:38
Автор: BON
интеграция регистрации sitemancms + exbb
Настройка форума Ответов: 1
Автор темы: foozzi
26 марта 2011 — 08:16
Автор: electron
sitemap для форума
Есть ли какой мод для создания карты сайта (форума)
Модификации и дополнения Ответов: 0
Автор темы: GreatALF
22 мая 2014 — 04:53
Автор: GreatALF
 



Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
 




Яндекс.Метрика   

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0704]     [ ]