yura3d, была отправлена уязвимость. Уязвимость - Cross Site Request Forgery (Межсайтовая подделка запроса). Прошу не флудить в теме, админу отписать.
P.S. Отправил еще nikk, дабы развеять нагнанный туман.
1. Перегарыч - 18 августа 2011 — 02:19 - перейти к сообщению
2. yura3d - 18 августа 2011 — 08:27 - перейти к сообщению
Перегарыч пишет:
yura3d, была отправлена уязвимость. Уязвимость - Cross Site Request Forgery (Межсайтовая подделка запроса). Прошу не флудить в теме, админу отписать.
Благодарю за предоставленную информацию, сегодня же будет выпущена заплатка
(Добавление)
Собственно, она готова. Откройте файл profile.php, найдите строки:
CODE:
if ($fm->_POST === FALSE) {
$fm->_Message($fm->LANG['MainMsg'],$fm->LANG['CorrectPost']);
}
$fm->_Message($fm->LANG['MainMsg'],$fm->LANG['CorrectPost']);
}
и замените их строками:
CODE:
if ($fm->_POST === FALSE || !isset($_SESSION['token']) || $_SESSION['token'] != $fm->_Intval('token')) {
$fm->_Message($fm->LANG['MainMsg'],$fm->LANG['CorrectPost']);
}
unset($_SESSION['token']);
$fm->_Message($fm->LANG['MainMsg'],$fm->LANG['CorrectPost']);
}
unset($_SESSION['token']);
Затем найдите строку:
CODE:
$hidden = ($fm->exbb['avatars'] === TRUE && $fm->exbb['avatar_upload'] === TRUE) ? '<input type="hidden" name="MAX_FILE_SIZE" value="'.$fm->exbb['avatar_size'].'">':'';
и над ней разместите строку:
CODE:
$_SESSION['token'] = $token = mt_rand(100000, 999999);
Наконец, откройте файл templates/ваш_скин/profile.tpl, найдите строку:
CODE:
<input type=hidden name="action" value="savemodify">
и под ней разместите строку:
CODE:
<input type="hidden" name="token" value="{$token}">
Последнюю правку необходимо повторить для всех установленных на форуме скинов (тем оформления)
3. Перегарыч - 19 августа 2011 — 12:47 - перейти к сообщению
Почему не исправить при смене пароля вводить текущий? При смене почтового ящика, подтверждение с нового.
4. BON - 19 августа 2011 — 14:52 - перейти к сообщению
Перегарыч, кстати хорошее замечание. видел такое на многих форумах
5. Перегарыч - 19 августа 2011 — 15:15 - перейти к сообщению
Удалите это сообщение.
6. BON - 19 августа 2011 — 15:30 - перейти к сообщению
Перегарыч, так снова тут возникает вопрос. Всё должно тогда проверяться со стороны сервера а не просто через value в которое можно написать что угодно. Я правильно вообще мыслю или как? Я просто не програмер
Ещё сразу попутно вопрос: вы типо профи хакер или только багоискатель ?
Просто такая простенькая скажем так фича, как я поглядел
Ещё сразу попутно вопрос: вы типо профи хакер или только багоискатель ?
Просто такая простенькая скажем так фича, как я поглядел
7. Перегарыч - 19 августа 2011 — 15:38 - перейти к сообщению
Сервер выполняет запрос, "Ваш Профиль" у всех тотже. Без подтверждения текущего пароля делай что хочешь, как Вам не понять.
P.S. По поводу фича, это видео для конкурса и согласно его условий. Оно не показавает как применить а просто показывает уязвимость. А как применить это уже отдельная статья.
P.S. По поводу фича, это видео для конкурса и согласно его условий. Оно не показавает как применить а просто показывает уязвимость. А как применить это уже отдельная статья.
8. BON - 19 августа 2011 — 16:22 - перейти к сообщению
Перегарыч, а чего ссылочку то убрали?
9. Перегарыч - 19 августа 2011 — 16:34 - перейти к сообщению
Удалите это сообщение.
10. BON - 19 августа 2011 — 16:47 - перейти к сообщению
ну скиньте в личку если можно.
11. BON - 19 августа 2011 — 19:28 - перейти к сообщению
yura3d пишет:
Благодарю за предоставленную информацию, сегодня же будет выпущена заплатка
(Добавление)
Собственно, она готова. Откройте файл profile.php, найдите строки:
(Добавление)
Собственно, она готова. Откройте файл profile.php, найдите строки:
Юр, если заплатка стоит на этом форуме то это фигня а не заплатка, она не помогает.
Предлагаю ввести капчу на страницу профиля, чтобы все изменения который были вступали в силу после того как введутся цифры с капчи. Такое видел на многих форумах.
Так же предлагаю переделать страницу профиля как предложил перегарыч: сделать не 1 поле для пароля, а 3: 1е для ввода старого пароля, 2е для введения нового пароля, 3е для повтора нового пароля.
Для начала думаю надо попробовать просто капчу.
12. Перегарыч - 19 августа 2011 — 19:34 - перейти к сообщению
Для начала хватит на любое подтверждение изменения ввести текущий пароль.
13. yura3d - 20 августа 2011 — 07:29 - перейти к сообщению
BON пишет:
Так же предлагаю переделать страницу профиля как предложил перегарыч
Вы больше слушайте то, что пишет этот самый Перегарыч. А заодно попереходите по ссылкам, что он оставляет. Во-первых, на эти самые ссылки ругается Касперский (так что ещё неизвестно, что Вы там могли подцепить), во-вторых, там размещается скрипт, использующий эту самую уязвимость, и этот Перегарыч потом пытается получить доступ к Вашим профилям, судя по логам форума. Вот он пытается проверить, какие профили удалось взломать (разумеется, с теми, кто не переходил по его ссылкам, вышел облом):
Цитата:
21:24:42 :: Гость :: Вход с неверными данными (roma1 :: 123qwezxcasd7) :: 217.118.92.116
21:24:07 :: Гость :: Вход с неверными данными (pauk :: 123qwezxcasd7) :: 217.118.92.116
21:23:35 :: Гость :: Вход с неверными данными (alexx1 :: 123qwezxcasd7) :: 217.118.92.116
21:20:41 :: Гость :: Вход с неверными данными (bon :: 123qwezxcasd7) :: 217.118.92.116
21:20:11 :: Гость :: Вход с неверными данными (pauk :: 123qwezxcasd7) :: 217.118.92.116
21:19:44 :: Гость :: Вход с неверными данными (alexx1 :: 123qwezxcasd7) :: 217.118.92.116
21:24:07 :: Гость :: Вход с неверными данными (pauk :: 123qwezxcasd7) :: 217.118.92.116
21:23:35 :: Гость :: Вход с неверными данными (alexx1 :: 123qwezxcasd7) :: 217.118.92.116
21:20:41 :: Гость :: Вход с неверными данными (bon :: 123qwezxcasd7) :: 217.118.92.116
21:20:11 :: Гость :: Вход с неверными данными (pauk :: 123qwezxcasd7) :: 217.118.92.116
21:19:44 :: Гость :: Вход с неверными данными (alexx1 :: 123qwezxcasd7) :: 217.118.92.116
Но когда ничего не вышло, пришлось входить под своим логином:
Цитата:
21:31:29 :: Перегарыч :: Выполнен вход :: 217.118.92.116
BON пишет:
Юр, если заплатка стоит на этом форуме то это фигня а не заплатка, она не помогает.
До сегодняшнего дня у меня не было возможности установить заплатку на этом форуме, этим видимо и пользуется нечистый на руку Перегарыч. К слову, он же бывший (забаненный) Смайлик. Но сейчас у меня такая возможность есть, и заплатка будет установлена в течение ближайших минут
(Добавление)
Всё, заплатка на этом форуме установлена. А Вам, BON, если Вы переходили по ссылкам, оставленным Перегарычем, рекомендую проверить комп на вирусы.
BON пишет:
Перегарыч, а чего ссылочку то убрали?
А там вирусы, чего ж тут непонятного. Зачем ему лишний раз светиться? Он наверное теперь может красть Ваши пароли и безо всякой уязвимости (если Вы переходили по его ссылкам), и не только от этого форума, но и от других сайтов, которыми Вы пользуетесь (помните историю недельной давности с кражей паролей в Facebook ?) Так что сканируйте теперь комп, желательно последним Каспером, т.к. последний NOD32, например, на его ссылки не ругается
14. Перегарыч - 20 августа 2011 — 07:52 - перейти к сообщению
yura3d, была ошибка в файле. Убрал ее и проверили с BON, уязвимость осталась.
Какой вирус, редирект скрытый и сниффер. На это и кричало. Не хотел через енкодер все прогонять. Проверяйте, если Вам как вижу заняться нечем. Кстати писал, видео попало в конкурс. На таких форумах не попадет не проверив.
Какой вирус, редирект скрытый и сниффер. На это и кричало. Не хотел через енкодер все прогонять. Проверяйте, если Вам как вижу заняться нечем. Кстати писал, видео попало в конкурс. На таких форумах не попадет не проверив.
15. yura3d - 20 августа 2011 — 08:01 - перейти к сообщению
Перегарыч
Вопросы остаются открытыми. Зачем Вы ссылки-то удалили? Во-вторых, с какой целью пытались тут входить под логинами других пользователей?
Вопросы остаются открытыми. Зачем Вы ссылки-то удалили? Во-вторых, с какой целью пытались тут входить под логинами других пользователей?