Комментарии 41
В «тройке» не работает. Проверил. Ссылку не даю — во избежание хабраэффекта, IPBv3 стоит на домашней машине :)
-1
У Вас vbullletin, а речь про Ivision Power Board, насколько я понял)
-1
А можно хотя бы картинку под кат спрятать? Больно уж она большая.
+1
Вы выложили описание уязвимости тут чтобы пол интернета взломали друг друга? Может лучше было сказать или продать разработчикам…
0
Чуть выше по тексту — разработчики в курсе. И эксплойт уже начал свой путь по городам и весям (читай — на десятке тематических форумов уже есть). Вопрос неоднозначен, но пусть лучше все знают и предпринимают меры по защите, чем знать только тем, кто целенаправленно занимается взломом?
+1
Тем кто ломает за деньги и хорошо разбирается не нужен этот эксплоит.
Эксплоитом будут пользоваться в основном школьники, цель большинства разрушать и совершать дефейсы, и это самые опасные люди.
Эксплоитом будут пользоваться в основном школьники, цель большинства разрушать и совершать дефейсы, и это самые опасные люди.
0
Что и требовалось ожидать — не перевелись еще идиоты, делающие парсеры тегов на голых регекспах.
+2
вы предлагаете способ с одетыми регекспами?
-1
и не переведутся. потому что это просто и удобно. и быстро. да и идиотами они являются только в воображении всякой там школоты, недавно осилившей «хелло, ворлд» написать
0
Для домашней странички Василия Пупкина — пойдет.
Для сайта посерьезней — нет, т.к. не будет выполнять свою функцию, отсюда нерабочий вариант не может быть ни простым, ни удобным, ни быстрым.
1) Отсутствие отладки.
2) Человеческий фактор.
3) Сложность поддержки и доработки(!!)
BB теги оставим тем, кому надо лишь u/i/b, для чего-то сложного не пойдет по указанным выше причинам.
Для сайта посерьезней — нет, т.к. не будет выполнять свою функцию, отсюда нерабочий вариант не может быть ни простым, ни удобным, ни быстрым.
1) Отсутствие отладки.
2) Человеческий фактор.
3) Сложность поддержки и доработки(!!)
BB теги оставим тем, кому надо лишь u/i/b, для чего-то сложного не пойдет по указанным выше причинам.
+1
ндя, а я как то с год назад перестал следить за багтраками, надо бы снова начать.
+4
Пока школьники спят, быстренько отключим BBCode acronym.
[b]Narical[/b] спасибо.
[b]Narical[/b] спасибо.
+1
Большое спасибо за информацию. Я отключил BBCode в подписях, но достаточно ли этого, если я не запретил тег acronym? (просто пока не нашел, где его запретить).
Я не умею проверить уязвим ли еще форум или нет, прошу помочь с проверкой — кто умеет — в личку напишите, скажу адрес форума, или в Личку киньте код для примера, который нужно разместить в подписи. Спасибо.
Я не умею проверить уязвим ли еще форум или нет, прошу помочь с проверкой — кто умеет — в личку напишите, скажу адрес форума, или в Личку киньте код для примера, который нужно разместить в подписи. Спасибо.
0
копипаста с форума:
Насчет «решается удаление тега acronym» — его надо выпиливать из кода IPB, что сложно. Но в принципе, ничего страшнее порушенной разметки он не несет — главное подписи отключить.
— дыра известна давно, еще с прошлого года.
— дыра есть и в 2.х, и в 3.х и связана с обработкой вложенных кодов,
— дыра явно активно эксплуатировалась всякими темными личностями и на публику попала случайно,
— в 2.х из-за дыры есть активная XSS (используется в подписях), что грозит вам уводом cookies, сиречь, сессии,
— в 3.х из-за дыры пока удается только попортить разметку страницы, однако, некоторые хакеры пишут о так же рабочей XSS,
— в 2.х проблема, вероятно, решается отключением BBCode в подписях и удалением тега acronym,
— в 3.х следует запретить обработку вложенных тегов для email, url, font, member, topic, blog, post, acronym, background. Возможно, другие теги так же уязвимы — не проверял.
Все примеры кода, ссылки на хакерские форумы и примеры использования эксплоитов высланы саппортам IPS и IBR.
Насчет «решается удаление тега acronym» — его надо выпиливать из кода IPB, что сложно. Но в принципе, ничего страшнее порушенной разметки он не несет — главное подписи отключить.
+3
Пример на скрине — это как раз использование тега acronym. Насколько это страшно — решать вам. С другой стороны, это не увод сессии и не полный контроль над админкой.
0
Прошу еще раз уточнить. Мне не до конца понятно.
Я вижу на скрине красный прямоугольник с текстом предупреждения, порушенной разметки не вижу.
Это предупреждение, и есть «порушенная разметка»?
Я вижу на скрине красный прямоугольник с текстом предупреждения, порушенной разметки не вижу.
Это предупреждение, и есть «порушенная разметка»?
+1
Код в подписях отключил спасибо!
0
После того как я перешел с phpbb на ipb много лет тому назад — не помню, чтобы меня волновали подобные новости. А тут на тебе… Спасибо, всё везде запретил =)
0
Аналогично, турецкие хакеры замучали в свое время дефейсить phpBB, аналогично, перешел на ipb
Утоните, пожалуйста, каким образом запретили использование тега acronym?
Утоните, пожалуйста, каким образом запретили использование тега acronym?
0
Как рекомендуют выше:
в 2.6 удалил: Управление -> Дополнительные BB-коды -> Список BB-кодов
в 3 запретил разбор вложенных кодов: Внешний вид -> Содержимое сообщений -> BB-коды
в 2.6 удалил: Управление -> Дополнительные BB-коды -> Список BB-кодов
в 3 запретил разбор вложенных кодов: Внешний вид -> Содержимое сообщений -> BB-коды
+4
Он не является встроенным в парсер. Достаточно зайти в админцентр, найти там управление дополнительными ББ-кодами и удалить оттуда этот ББ-код.
Советую вам перечитать документацию к форуму, иначе вам могут угрожать более безобидные проблемы.
Советую вам перечитать документацию к форуму, иначе вам могут угрожать более безобидные проблемы.
+1
А у меня 20 форумов. Во все админки ручками не налазишься. :(
Поступил проще — в модуле сохранения подписей профиля пользователя добавляю синтаксическую ошибку в написание всех ивентов по маске on* (функция do_signature() в файле \sources\lib\func_usercp.php)
А потом уже по наработанной схеме автоматом по ftp пачкой рассылаю изменения на форумы.
На первое время должно помочь, пока не придумают что-нибудь более гениальное.
Поступил проще — в модуле сохранения подписей профиля пользователя добавляю синтаксическую ошибку в написание всех ивентов по маске on* (функция do_signature() в файле \sources\lib\func_usercp.php)
function do_signature()
...
// Parse post
...
$this->ipsclass->input['Post'] = preg_replace( "/on(.?)/i" , "-n\\1" , $this->ipsclass->input['Post'] );
А потом уже по наработанной схеме автоматом по ftp пачкой рассылаю изменения на форумы.
На первое время должно помочь, пока не придумают что-нибудь более гениальное.
0
НЛО прилетело и опубликовало эту надпись здесь
Последние новости, Ritsuka@IBR:
Исправлено и для 2.3.6, и для 3.0.5. Патчи от IPS будут выложены сегодня.
+1
один с авторов данной уязвимости попросил опубликовать этот комментарий
а вот она была опубликована еще в 2008 году.
для связи с автором можно использовать следующий емейл brainpillow@gmail.com, а еще туда можно отправить инвайт (:
каждый из админов (разговор шёл с тремя дядьками) или главных девелоперов, с которыми была осуществлена попытка «договориться» о раскрытии уязвимостей за некоторое материальное вознаграждение был повергнут в крайнюю степень недоумения. и с неподдельным и искренним удивлением они давали понять, мол, «такого способа поощрения не существует и вовсе, и мы впервые с таким сталкиваемся и не знаем что с вами делать». и это слова конторы, которая продаёт свой код.
а вот она была опубликована еще в 2008 году.
для связи с автором можно использовать следующий емейл brainpillow@gmail.com, а еще туда можно отправить инвайт (:
0
ссылка потерялась forum.antichat.ru/showthread.php?t=96612
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Активная XSS уязвимость в IP.Board v2.3.6