ExBB Community » » Уязвимости » Общие вопросы безопасности

Страниц (6): « 1 2 [3] 4 5 6 »
 

31. yura3d - 10 января 2010 — 16:23 - перейти к сообщению
DreaMinder пишет:
читал, и прабла в том, что гостям запрещено публиковать ответы и темы... а спамят именно гости... и обычно с разными ip в одной подсети... все попробовал кроме модов и "Разрешить пользователям задавать себе пароль? " - по личным причинам.

Значит у Вас имеется сторонняя брешь в безопасности, позволяющая добавлять сообщения на форум в обход скриптов форума (поскольку запрет в админке на создание тем и сообщений для гостей работает правильно, эта функция уже неоднократно проверялось и подтверждена годом бесперебойной работы данной версии форума на этом и множестве других сайтов). Проверяйте правильность расстановки прав доступа на файлы и папки текстовой базы данных форума. Все права доступа должны быть расставлены строго в соответствии с инструкциями хостера, иначе в некоторых случаях расстановка слишком широких прав (0777, 0755 и т.д.) на некоторых хостингах может открыть доступ к файлам Вашего форума для других пользователей (клиентов) хостинга
32. DreaMinder - 10 января 2010 — 16:29 - перейти к сообщению
ну ладно...
но хост не давал никаких инструкций... и поддержка на столько забита, что он мне точно не ответит...
как я выводил права? расставил 666 на все, а потом судя по ошибкам на форуме выставлял 667 или 777
короче спасибо.. буду разбираться
33. altjo - 15 февраля 2010 — 16:29 - перейти к сообщению
это правда или ложь?
Скрытый текст:
Для просмотра Вам необходимо авторизоваться

пассивные это ведь не страшно)
34. lisiycat - 15 февраля 2010 — 17:22 - перейти к сообщению
altjo пишет:
это правда или ложь?
http_://forum.inattack.ru/index.p...?showtopic=23005


Ссылка не открывается Хм

Сори, все открылось.

ЗЫ На всякий случай сделал принтскрин, если нужно будет прикреплю
35. yura3d - 15 февраля 2010 — 18:52 - перейти к сообщению
altjo
lisiycat
vipraskrutka
Подтверждаю, проблема со скриптом редиректа rd.php есть, но чтобы ей воспользоваться нужно сочетание как минимум 2-х событий. Вредоносную ссылку c XSS (подобную приведённой altjo по ссылке выше) нельзя опубликовать на форуме или переслать в ЛС, эту ссылку и подобные ей можно отправить разве что по e-mail, ICQ и т.п. Если жертва кликнет подобную ссылку (при условии что она использует IE6), злоумышленник может украсть cookies жертвы, иными словами проделать то, что называется XSS.

Чтобы закрыть эту брешь, в самом начале скрипта rd.php разместите фильтрующий фрагмент, который будет осуществлять проверку правильности адреса перед осуществлением редиректа:
CODE:
<?php
if (!preg_match('#^(http|https|ftp)\://([a-zA-Z0-9\.\-/%\+\?\&\=\;\:]+)$#is', $_SERVER['QUERY_STRING']))
die;
?>

Данное исправление является критическим, однако тем, у кого мод перехода по внешним ссылкам через редирект не установлен, оно не нужно.
36. yura3d - 15 февраля 2010 — 19:20 - перейти к сообщению
vipraskrutka пишет:
yura3d интересно о каких дырках в post запросах они еще имели в виду...

А ни о каких, из этой фразы всё становится ясно:
Цитата:
Какая кодировка может обойти htmlspecialchars() ?

Вопрос вообще поставлен некорректно. Все входные данные POST экранируются, поэтому в данном случае они пытаются найти кодировку, где экранирование не будет работать (а оно не будет работать в кодировке, где управляющие символы представлены другими значениями их кодов в памяти). Однако это бесмысленно, поскольку браузер оперериует непосредственно ASCII-кодами управляющих символов (хотя в отношении того же IE6 всякое может быть), постольку они будут бесконечно искать свою кодировку и декодеры к ней:
Цитата:
Если ответите и дадите ссылу на декодер

Для тех, кто очень сильно боится, предлагаю настроить Apache для принудительной перекодировки всех входящих на форум запросов и отдаваемых страниц форума в windows-1251, тогда смысла в подмене кодировки нет
37. altjo - 20 февраля 2010 — 13:50 - перейти к сообщению
и есть одна мелочь...

Скрытый текст:
Для просмотра Вам необходимо авторизоваться и оставить не менее 20 сообщений
38. yura3d - 21 февраля 2010 — 21:08 - перейти к сообщению
altjo
Ничего страшного в данном случае нет, просто в скрипте отсутствовала проверка на наличие элемента, соответствующего запрашиваемому файлу, в массиве прикреплённых файлов. Учитывая что все входящие данные от пользователя экранируются, никакой угрозы безопасности этот недочёт в себе не несёт.

Для исправления открываем файл printfile.php, находим строку:
CODE:
if (!file_exists('uploads/'.$attaches[$attach_id]['id'])) {

и заменяем её строкой:
CODE:
if (!isset($attaches[$attach_id]['id']) || !file_exists('uploads/'.$attaches[$attach_id]['id'])) {

Вот и всё! Улыбка
39. M-A-X - 24 февраля 2010 — 01:21 - перейти к сообщению
В первом сообщении на данной странице в
CODE:
<
if (!preg_match('#^(http|https|ftp)\://([a-zA-Z0-9\.\-/%\+\?\&\=\;\:]+)$#is',


CODE:
a-zA-Z0-9


может лучше заменить на

CODE:

\w

Просто меньше букв в регулярном выражении Улыбка
40. yura3d - 27 февраля 2010 — 14:15 - перейти к сообщению
M-A-X пишет:
может лучше заменить на

Не лучше. Уже вышла обновлённая версия скрипта редиректа rd.php, где однозначно согласно документации PHP определён набор символов, не подлежащих URL-кодированию и через которые кодируются все остальные символы. Подробности здесь
41. ildar - 22 марта 2010 — 06:23 - перейти к сообщению
В последнии дни в логах ошибок хостинга стали появляться такие строки:
CODE:
[Mon Mar 22 08:35:47 2010] [error] [client 69.73.154.188] File does not exist: /home/www/vhosts/xxx/httpdocs/
[Mon Mar 22 08:36:06 2010] [error] [client 69.73.154.188] File does not exist: /home/www/vhosts/xxx/httpdocs/

Посмотрел логи доступа, с этого ip пытались зайти по этому адресу:
Скрытый текст:
Для просмотра Вам необходимо авторизоваться и оставить не менее 10 сообщений

Решил посмотреть в Гугле, почему такой странный запрос и узнал, что это была попытка взлома через уязвимость скриптов ExBB А?!
Скрытый текст:
Для просмотра Вам необходимо авторизоваться и оставить не менее 10 сообщений

Вопрос, эти уязвимости закрыты? А?!
42. yura3d - 22 марта 2010 — 06:55 - перейти к сообщению
ildar
Эти уязвимости закрыты более 3-х лет назад, в конце 2006 года (посмотрите на даты публикации сообщений о них). Более того, в новом ядре ExBB FM 1.0 (в отличие от старых ExBB 1.x и ExBB Full Mods 0.1.x) вся служебная информация инкапсулируется (скрывается) в ядре, поэтому любые подобные попытки PHP-инъекций на последних версиях форума бессмысленны
43. ildar - 22 марта 2010 — 07:03 - перейти к сообщению
yura3d пишет:
ildar
Эти уязвимости закрыты более 3-х лет назад, в конце 2006 года (посмотрите на даты публикации сообщений о них). Более того, в новом ядре ExBB FM 1.0 (в отличие от старых ExBB 1.x и ExBB Full Mods 0.1.x) вся служебная информация инкапсулируется (скрывается) в ядре, поэтому любые подобные попытки PHP-инъекций на последних версиях форума бессмысленны

Спасибо, теперь я спокоен Улыбка

P.S. Самое интересное, что в бюллетене безопасности говорится о версии 1.9.1, скачал из архива эту версию, посмотрел, а там вообще нет ни папки /modules, ни тех файлов, которые перечислены в бюллетене.
44. Светлана - 11 августа 2010 — 16:28 - перейти к сообщению
Который раз уже в папке "members" появляется некий субъект с нечисловым названием файла: __3d80e7ae1c030811c7776443a0878a34.php, и ай-ди 0.
Что за нечисть?
CODE:
<?die;?>a:28:{s:2:"id";i:0;s:6:"status";s:2:"me";s:4:"name";s:13:"wetdiedoidogy";s:4:"pass";s:8:
"KuFhMEAV";s:4:"mail";s:22:"megatron300@rambler.ru";s:5:"title";s:0:"";s:5:"posts"
;i:0;s:6:"joined";i:1281110445;s:2:"ip";s:14:"62.153.174.197";s:9:"showemail";b:0;
s:3:"www";s:0:"";s:3:"icq";s:0:"";s:3:"aim";s:0:"";s:8:"location";s:0:"";s:9:"interest
s";s:0:"";s:3:"sig";s:0:"";s:6:"sig_on";b:0;s:4:"lang";s:7:"russian";s:4:"skin";s:12:"I
nvisionExBB";s:7:"timedif";i:0;s:6:"avatar";s:12:"noavatar.gif";s:6:"upload";b:1;s:7:"
visible";b:0;s:6:"new_pm";b:0;s:9:"sendnewpm";b:0;s:10:"posts2page";i:15;s:11:"t
opics2page";i:15;s:10:"last_visit";i:0;}

Грешить ли на хостера? или?
45. yura3d - 11 августа 2010 — 17:02 - перейти к сообщению
Светлана пишет:
Который раз уже в папке "members" появляется некий субъект с нечисловым названием файла: __3d80e7ae1c030811c7776443a0878a34.php, и ай-ди 0.
Что за нечисть?

В подобных файлах форум хранит информцию о неподтверждённых (неактивированных) по e-mail регистрациях. Как только зарегистрировавшийся пользователь переходит по ссылке в письме с инструкцией по активации, ему присваивается номер (ID) и информация из временного файла перемещается в файл с этим номером. Если же в течение 24 часов с момента регистрации активация не будет произведена, временный файл будет удалён

Яндекс.Метрика   

Powered by ExBB
[Script Execution time: 0.0238]     [ ]