История одного ресурса

[shanker]

С чем была связана ошибка на форуме? Где косяк: настройка веб сервера или в самих скриптах проекта? Каким образом она была устранена?

[biophreak]

Скорее скрипт error.php просто представлял собой что-то типа:
<? echo $_GET['msg'] ?>
Вот и вся ошибка.
Самое простое устранение — это эскейпить все символы из параметров, которые пришли извне. Ну или фильтровать.

[Nikitian]

Самое простое устранение — ставить сессионные куки с флагом httponly.

[biophreak]

Возможно это и есть решение конкретной проблемы, но уязвимости это не пофиксит.

[Raz0r]

Фильтровать все равно нужно, хотя httpOnly так же обязателен. Кстати, IPB ставит httpOnly-куки с версии 2.2.0. Сейчас так просто XSS не провернуть.

[Pingvi]

Да, так оно и было. Решили проблему фильтрацией данных

[shanker]

В Denwer я обнаружил точь в точь такую же уязвимость ещё в далёком 2006

[AlexeiKozlov]

Вообще, статья наталкивает на идею, как прорекламировать свой сайт на хабре :)
Пишет php страничку позволяющую делать XSS, а дальше все как в этой статье.

[venn]

Видимо, о каждом более-менее известном.

[JonNiBravo]

<script>alert('[sarcasm]Какая захватывающая история[/sarcasm]');</script>

[egetmanenko]

И в чём профит этой «атаки»?

[Ekstazi]

Узнал куку — получил доступ.

[xSeth]

Да да да. Проверил при старте сессии ИП при создании сесии и с какого ИП идет обращение — несовпало, аааа нас хакают.

[Bobos]

Если сайт целиком построен на flash, никакой XSS ему на страшен :) По крайней мере ИМХО

[HnH]

Ага, как и поисковые роботы, javascript и прочие ништяки :)

[Riateche]

А если сайт статический, то ему вообще почти ничего не страшно.

[Bobos]

Я вам глубоко сочувствую

[vitalikk]

Ему страшно за свое будущее.

[matiouchkine]

Зато он по праву может гордиться своим прошлым!

[Bobos]

Продолжайте думать шаблонно, господин теоретик, а когда обзаведетесь маком — возвращайтесь, по-дискуссируем

[Bobos]

www.whoismafia.com

[Bobos]

Ух. Тяжело вам. Надеюсь, скоро разработчики смогут нормально интегрировать флеш в макос, сможете с нами играть :)

[hg_04]

что то я не уловил сути, в ipb все входящие теги сразу преобразовываются и что бы провести атаку нужно более сложный запрос отправить нежели Ваш, разве, что база знаний написана не по канонам ipb 1.*, пусть даже так, но ведь сессия привязана к ip (в 2.0+ так точно). Вам точно удалось получить полезную инфу от пользователя? :)

[hg_04]

как вариант XSRF но статья этот момент не затрагивает.

[Pingvi]

Не, это не CSRF/XSRF. Описано использование пассивной XSS.
Куки от форума удалось получить из-за специфичной настройки (они действовали для всего домена).

[Pingvi]

C ipb нечего не вышло, а вот база знаний — самописная. Уязвимость удалось обнаружить из-за доверия программиста к полученным данным от пользователя.

В конфигурации есть настройка — привязывать сессию к IP, на тот момент она была выключена.