ExBB Community :: Версия для печати :: Общие вопросы безопасности [3]

31. yura3d - 10 января 2010 — 16:23 - перейти к сообщению

DreaMinder пишет:

читал, и прабла в том, что гостям запрещено публиковать ответы и темы... а спамят именно гости... и обычно с разными ip в одной подсети... все попробовал кроме модов и "Разрешить пользователям задавать себе пароль? " - по личным причинам.

Значит у Вас имеется сторонняя брешь в безопасности, позволяющая добавлять сообщения на форум в обход скриптов форума (поскольку запрет в админке на создание тем и сообщений для гостей работает правильно, эта функция уже неоднократно проверялось и подтверждена годом бесперебойной работы данной версии форума на этом и множестве других сайтов). Проверяйте правильность расстановки прав доступа на файлы и папки текстовой базы данных форума. Все права доступа должны быть расставлены строго в соответствии с инструкциями хостера, иначе в некоторых случаях расстановка слишком широких прав (0777, 0755 и т.д.) на некоторых хостингах может открыть доступ к файлам Вашего форума для других пользователей (клиентов) хостинга

32. DreaMinder - 10 января 2010 — 16:29 - перейти к сообщению

ну ладно...
но хост не давал никаких инструкций... и поддержка на столько забита, что он мне точно не ответит...
как я выводил права? расставил 666 на все, а потом судя по ошибкам на форуме выставлял 667 или 777
короче спасибо.. буду разбираться

33. altjo - 15 февраля 2010 — 16:29 - перейти к сообщению

это правда или ложь?

Скрытый текст:

Для просмотра Вам необходимо авторизоваться

пассивные это ведь не страшно)

34. lisiycat - 15 февраля 2010 — 17:22 - перейти к сообщению

altjo пишет:

это правда или ложь?
http_://forum.inattack.ru/index.p...?showtopic=23005

Ссылка не открывается

Сори, все открылось.

ЗЫ На всякий случай сделал принтскрин, если нужно будет прикреплю

35. yura3d - 15 февраля 2010 — 18:52 - перейти к сообщению

altjo
lisiycat
vipraskrutka
Подтверждаю, проблема со скриптом редиректа rd.php есть, но чтобы ей воспользоваться нужно сочетание как минимум 2-х событий. Вредоносную ссылку c XSS (подобную приведённой altjo по ссылке выше) нельзя опубликовать на форуме или переслать в ЛС, эту ссылку и подобные ей можно отправить разве что по e-mail, ICQ и т.п. Если жертва кликнет подобную ссылку (при условии что она использует IE6), злоумышленник может украсть cookies жертвы, иными словами проделать то, что называется XSS.

Чтобы закрыть эту брешь, в самом начале скрипта rd.php разместите фильтрующий фрагмент, который будет осуществлять проверку правильности адреса перед осуществлением редиректа:

CODE:

<?php
if (!preg_match('#^(http|https|ftp)\://([a-zA-Z0-9\.\-/%\+\?\&\=\;\:]+)$#is', $_SERVER['QUERY_STRING']))
die;
?>

Данное исправление является критическим, однако тем, у кого мод перехода по внешним ссылкам через редирект не установлен, оно не нужно.

36. yura3d - 15 февраля 2010 — 19:20 - перейти к сообщению

vipraskrutka пишет:

yura3d интересно о каких дырках в post запросах они еще имели в виду...

А ни о каких, из этой фразы всё становится ясно:

Цитата:

Какая кодировка может обойти htmlspecialchars() ?

Вопрос вообще поставлен некорректно. Все входные данные POST экранируются, поэтому в данном случае они пытаются найти кодировку, где экранирование не будет работать (а оно не будет работать в кодировке, где управляющие символы представлены другими значениями их кодов в памяти). Однако это бесмысленно, поскольку браузер оперериует непосредственно ASCII-кодами управляющих символов (хотя в отношении того же IE6 всякое может быть), постольку они будут бесконечно искать свою кодировку и декодеры к ней:

Цитата:

Если ответите и дадите ссылу на декодер

Для тех, кто очень сильно боится, предлагаю настроить Apache для принудительной перекодировки всех входящих на форум запросов и отдаваемых страниц форума в windows-1251, тогда смысла в подмене кодировки нет

37. altjo - 20 февраля 2010 — 13:50 - перейти к сообщению

и есть одна мелочь...

Скрытый текст:

Для просмотра Вам необходимо авторизоваться и оставить не менее 20 сообщений

38. yura3d - 21 февраля 2010 — 21:08 - перейти к сообщению

altjo
Ничего страшного в данном случае нет, просто в скрипте отсутствовала проверка на наличие элемента, соответствующего запрашиваемому файлу, в массиве прикреплённых файлов. Учитывая что все входящие данные от пользователя экранируются, никакой угрозы безопасности этот недочёт в себе не несёт.

Для исправления открываем файл printfile.php, находим строку:

CODE:

if (!file_exists('uploads/'.$attaches[$attach_id]['id'])) {

и заменяем её строкой:

CODE:

if (!isset($attaches[$attach_id]['id']) || !file_exists('uploads/'.$attaches[$attach_id]['id'])) {

Вот и всё! Улыбка

39. M-A-X - 24 февраля 2010 — 01:21 - перейти к сообщению

В первом сообщении на данной странице в

CODE:

<
if (!preg_match('#^(http|https|ftp)\://([a-zA-Z0-9\.\-/%\+\?\&\=\;\:]+)$#is',

CODE:

a-zA-Z0-9

может лучше заменить на

CODE:

Просто меньше букв в регулярном выражении Улыбка

40. yura3d - 27 февраля 2010 — 14:15 - перейти к сообщению

M-A-X пишет:

может лучше заменить на

Не лучше. Уже вышла обновлённая версия скрипта редиректа rd.php, где однозначно согласно документации PHP определён набор символов, не подлежащих URL-кодированию и через которые кодируются все остальные символы. Подробности здесь

41. - 22 марта 2010 — 06:23 - перейти к сообщению

В последнии дни в логах ошибок хостинга стали появляться такие строки:

CODE:

[Mon Mar 22 08:35:47 2010] [error] [client 69.73.154.188] File does not exist: /home/www/vhosts/xxx/httpdocs/
[Mon Mar 22 08:36:06 2010] [error] [client 69.73.154.188] File does not exist: /home/www/vhosts/xxx/httpdocs/

Посмотрел логи доступа, с этого ip пытались зайти по этому адресу:

Скрытый текст:

Для просмотра Вам необходимо авторизоваться и оставить не менее 10 сообщений

Решил посмотреть в Гугле, почему такой странный запрос и узнал, что это была попытка взлома через уязвимость скриптов ExBB А?!

Скрытый текст:

Для просмотра Вам необходимо авторизоваться и оставить не менее 10 сообщений

Вопрос, эти уязвимости закрыты? А?!

42. yura3d - 22 марта 2010 — 06:55 - перейти к сообщению

ildar
Эти уязвимости закрыты более 3-х лет назад, в конце 2006 года (посмотрите на даты публикации сообщений о них). Более того, в новом ядре ExBB FM 1.0 (в отличие от старых ExBB 1.x и ExBB Full Mods 0.1.x) вся служебная информация инкапсулируется (скрывается) в ядре, поэтому любые подобные попытки PHP-инъекций на последних версиях форума бессмысленны

43. - 22 марта 2010 — 07:03 - перейти к сообщению

yura3d пишет:

Спасибо, теперь я спокоен Улыбка

P.S. Самое интересное, что в бюллетене безопасности говорится о версии 1.9.1, скачал из архива эту версию, посмотрел, а там вообще нет ни папки /modules, ни тех файлов, которые перечислены в бюллетене.

44. Светлана - 11 августа 2010 — 16:28 - перейти к сообщению

Который раз уже в папке "members" появляется некий субъект с нечисловым названием файла: __3d80e7ae1c030811c7776443a0878a34.php, и ай-ди 0.
Что за нечисть?

CODE:

<?die;?>a:28:{s:2:"id";i:0;s:6:"status";s:2:"me";s:4:"name";s:13:"wetdiedoidogy";s:4:"pass";s:8:
"KuFhMEAV";s:4:"mail";s:22:"megatron300@rambler.ru";s:5:"title";s:0:"";s:5:"posts"
;i:0;s:6:"joined";i:1281110445;s:2:"ip";s:14:"62.153.174.197";s:9:"showemail";b:0;
s:3:"www";s:0:"";s:3:"icq";s:0:"";s:3:"aim";s:0:"";s:8:"location";s:0:"";s:9:"interest
s";s:0:"";s:3:"sig";s:0:"";s:6:"sig_on";b:0;s:4:"lang";s:7:"russian";s:4:"skin";s:12:"I
nvisionExBB";s:7:"timedif";i:0;s:6:"avatar";s:12:"noavatar.gif";s:6:"upload";b:1;s:7:"
visible";b:0;s:6:"new_pm";b:0;s:9:"sendnewpm";b:0;s:10:"posts2page";i:15;s:11:"t
opics2page";i:15;s:10:"last_visit";i:0;}

Грешить ли на хостера? или?

45. yura3d - 11 августа 2010 — 17:02 - перейти к сообщению

Светлана пишет:

В подобных файлах форум хранит информцию о неподтверждённых (неактивированных) по e-mail регистрациях. Как только зарегистрировавшийся пользователь переходит по ссылке в письме с инструкцией по активации, ему присваивается номер (ID) и информация из временного файла перемещается в файл с этим номером. Если же в течение 24 часов с момента регистрации активация не будет произведена, временный файл будет удалён