Pingvi Jan 27 2012 at 15:07

История одного ресурса

3 min

1.7K

Comments 31

shanker Jan 27 2012 at 15:53

С чем была связана ошибка на форуме? Где косяк: настройка веб сервера или в самих скриптах проекта? Каким образом она была устранена?

biophreak Jan 27 2012 at 16:11

Скорее скрипт error.php просто представлял собой что-то типа:
<? echo $_GET['msg'] ?>
Вот и вся ошибка.
Самое простое устранение — это эскейпить все символы из параметров, которые пришли извне. Ну или фильтровать.

Nikitian Jan 27 2012 at 16:33

Самое простое устранение — ставить сессионные куки с флагом httponly.

biophreak Jan 27 2012 at 16:59

Возможно это и есть решение конкретной проблемы, но уязвимости это не пофиксит.

Raz0r Jan 27 2012 at 17:06

Фильтровать все равно нужно, хотя httpOnly так же обязателен. Кстати, IPB ставит httpOnly-куки с версии 2.2.0. Сейчас так просто XSS не провернуть.

Pingvi Jan 27 2012 at 16:43

Да, так оно и было. Решили проблему фильтрацией данных

shanker Jan 27 2012 at 18:34

В Denwer я обнаружил точь в точь такую же уязвимость ещё в далёком 2006

AlexeiKozlov Jan 27 2012 at 16:04

Вообще, статья наталкивает на идею, как прорекламировать свой сайт на хабре :)
Пишет php страничку позволяющую делать XSS, а дальше все как в этой статье.

UFO just landed and posted this here

venn Jan 27 2012 at 16:15

Видимо, о каждом более-менее известном.

JonNiBravo Jan 27 2012 at 16:21

<script>alert('[sarcasm]Какая захватывающая история[/sarcasm]');</script>

egetmanenko Jan 27 2012 at 17:38

И в чём профит этой «атаки»?

Ekstazi Jan 27 2012 at 19:54

Узнал куку — получил доступ.

xSeth Jan 27 2012 at 20:01

Да да да. Проверил при старте сессии ИП при создании сесии и с какого ИП идет обращение — несовпало, аааа нас хакают.

UFO just landed and posted this here

Bobos Jan 27 2012 at 22:41

Если сайт целиком построен на flash, никакой XSS ему на страшен :) По крайней мере ИМХО

HnH Jan 27 2012 at 22:49

Ага, как и поисковые роботы, javascript и прочие ништяки :)

Riateche Jan 27 2012 at 23:48

А если сайт статический, то ему вообще почти ничего не страшно.

Bobos Jan 27 2012 at 23:59

Я вам глубоко сочувствую

vitalikk Jan 28 2012 at 00:44

Ему страшно за свое будущее.

matiouchkine Jan 28 2012 at 15:44

Зато он по праву может гордиться своим прошлым!

UFO just landed and posted this here

Bobos Jan 28 2012 at 06:06

Продолжайте думать шаблонно, господин теоретик, а когда обзаведетесь маком — возвращайтесь, по-дискуссируем

UFO just landed and posted this here

Bobos Jan 28 2012 at 06:33

www.whoismafia.com

UFO just landed and posted this here

Bobos Jan 29 2012 at 21:50

Ух. Тяжело вам. Надеюсь, скоро разработчики смогут нормально интегрировать флеш в макос, сможете с нами играть :)

hg_04 Jan 28 2012 at 01:53

что то я не уловил сути, в ipb все входящие теги сразу преобразовываются и что бы провести атаку нужно более сложный запрос отправить нежели Ваш, разве, что база знаний написана не по канонам ipb 1.*, пусть даже так, но ведь сессия привязана к ip (в 2.0+ так точно). Вам точно удалось получить полезную инфу от пользователя? :)

hg_04 Jan 28 2012 at 01:58

как вариант XSRF но статья этот момент не затрагивает.

Pingvi Jan 28 2012 at 08:29

Не, это не CSRF/XSRF. Описано использование пассивной XSS.
Куки от форума удалось получить из-за специфичной настройки (они действовали для всего домена).

Pingvi Jan 28 2012 at 08:25

C ipb нечего не вышло, а вот база знаний — самописная. Уязвимость удалось обнаружить из-за доверия программиста к полученным данным от пользователя.

В конфигурации есть настройка — привязывать сессию к IP, на тот момент она была выключена.