Pingvi 27 янв 2012 в 11:07

История одного ресурса

3 мин

1.9K

Комментарии 31

shanker 27 янв 2012 в 11:53

С чем была связана ошибка на форуме? Где косяк: настройка веб сервера или в самих скриптах проекта? Каким образом она была устранена?

biophreak 27 янв 2012 в 12:11

Скорее скрипт error.php просто представлял собой что-то типа:
<? echo $_GET['msg'] ?>
Вот и вся ошибка.
Самое простое устранение — это эскейпить все символы из параметров, которые пришли извне. Ну или фильтровать.

Nikitian 27 янв 2012 в 12:33

Самое простое устранение — ставить сессионные куки с флагом httponly.

biophreak 27 янв 2012 в 12:59

Возможно это и есть решение конкретной проблемы, но уязвимости это не пофиксит.

Raz0r 27 янв 2012 в 13:06

Фильтровать все равно нужно, хотя httpOnly так же обязателен. Кстати, IPB ставит httpOnly-куки с версии 2.2.0. Сейчас так просто XSS не провернуть.

Pingvi 27 янв 2012 в 12:43

Да, так оно и было. Решили проблему фильтрацией данных

shanker 27 янв 2012 в 14:34

В Denwer я обнаружил точь в точь такую же уязвимость ещё в далёком 2006

AlexeiKozlov 27 янв 2012 в 12:04

Вообще, статья наталкивает на идею, как прорекламировать свой сайт на хабре :)
Пишет php страничку позволяющую делать XSS, а дальше все как в этой статье.

НЛО прилетело и опубликовало эту надпись здесь

venn 27 янв 2012 в 12:15

Видимо, о каждом более-менее известном.

JonNiBravo 27 янв 2012 в 12:21

<script>alert('[sarcasm]Какая захватывающая история[/sarcasm]');</script>

egetmanenko 27 янв 2012 в 13:38

И в чём профит этой «атаки»?

Ekstazi 27 янв 2012 в 15:54

Узнал куку — получил доступ.

xSeth 27 янв 2012 в 16:01

Да да да. Проверил при старте сессии ИП при создании сесии и с какого ИП идет обращение — несовпало, аааа нас хакают.

НЛО прилетело и опубликовало эту надпись здесь

Bobos 27 янв 2012 в 18:41

Если сайт целиком построен на flash, никакой XSS ему на страшен :) По крайней мере ИМХО

HnH 27 янв 2012 в 18:49

Ага, как и поисковые роботы, javascript и прочие ништяки :)

Riateche 27 янв 2012 в 19:48

А если сайт статический, то ему вообще почти ничего не страшно.

Bobos 27 янв 2012 в 19:59

Я вам глубоко сочувствую

vitalikk 27 янв 2012 в 20:44

Ему страшно за свое будущее.

matiouchkine 28 янв 2012 в 11:44

Зато он по праву может гордиться своим прошлым!

НЛО прилетело и опубликовало эту надпись здесь

Bobos 28 янв 2012 в 02:06

Продолжайте думать шаблонно, господин теоретик, а когда обзаведетесь маком — возвращайтесь, по-дискуссируем

НЛО прилетело и опубликовало эту надпись здесь

Bobos 28 янв 2012 в 02:33

www.whoismafia.com

НЛО прилетело и опубликовало эту надпись здесь

Bobos 29 янв 2012 в 17:50

Ух. Тяжело вам. Надеюсь, скоро разработчики смогут нормально интегрировать флеш в макос, сможете с нами играть :)

hg_04 27 янв 2012 в 21:53

что то я не уловил сути, в ipb все входящие теги сразу преобразовываются и что бы провести атаку нужно более сложный запрос отправить нежели Ваш, разве, что база знаний написана не по канонам ipb 1.*, пусть даже так, но ведь сессия привязана к ip (в 2.0+ так точно). Вам точно удалось получить полезную инфу от пользователя? :)

hg_04 27 янв 2012 в 21:58

как вариант XSRF но статья этот момент не затрагивает.

Pingvi 28 янв 2012 в 04:29

Не, это не CSRF/XSRF. Описано использование пассивной XSS.
Куки от форума удалось получить из-за специфичной настройки (они действовали для всего домена).

Pingvi 28 янв 2012 в 04:25

C ipb нечего не вышло, а вот база знаний — самописная. Уязвимость удалось обнаружить из-за доверия программиста к полученным данным от пользователя.

В конфигурации есть настройка — привязывать сессию к IP, на тот момент она была выключена.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий