Уязвимости форумов Invision Power Board

[sM1Le]

Как-то неряшливо там написан файл ./sources/action_public/xmlout.php — зачем передавать ID пользователя, который изменяет свой же профиль, если можно сразу воспользоваться супер-классом.

Не оправдано тем, что супермодераторы всё равно не могут изменять в новом профиле данные других пользователей.

Там, кстати, у них был прямо перед носом один мелкий косяк — можно сформировать запрос, который изменит свой собственный рейтинг (функция ведь разрабатывалась с учетом, что ты сам себе не должен изменять рейтинг).

 

Отправил замечание bfarber'у...

Сказал, что будет исправлено уже в 2.3.

Хотя, там исправлений на одно условие...

Изменено 12 Июня 2007 пользователем sM1Le

[Ubivec]

У меня форум версии 2.2.2 в локальной сети

Вчера в разделе багрепорт появилось следующее сообщение от одного из пользователей

 

багрепорт:

Удалось стырить куки после того, как я создал ссобщение, перевел его в режим HTML, поставил JS-инъекцию в теге <H2>. Символы "<" и ">" удачно заменились на шестнадцатеричные и не фильтровались. отсылка куков произошла через обработчик onMouseOver на скрипт, который был размещен на моем хосте. Скрипт принял куки и добавил их в базу. После этого можно подменить свои куки стыреными и залогиниться под любым, кто навел указатель на текст вредоносного сообщения.

 

Возможно ли это и как с этим бороться. Ваше мнение !!!

[replicant]

На данной странице на сайте sysman опубликовано решение для устранения уязвимости при проверке прав доступа Обход проверки прав при просмотре результатов поиска Все версии IPB

 

Решение опубликованное для 1.х и 2.1.х возможно устраняет данную уязвимость, но как устранить ее на форумах версии 2.0.х ? Пробовал переписывать инструкцию от 2.1.х для форума 2.0.х и результаты поиска пропадают для всех вообще, возможно я где-то ошибся, но не могу найти где.

 

Уязвимость реально существует, хоть и достаточно сложная, т.к. необходимо получить ссылку от человека, имеющего доступ, но все же хотелось бы прикрыть, чтобы не давать доступ в закрытые разделы форума.

 

Вторая проблема - это раскрытие префикса таблиц для 2.0.х

 

Есть функция в post_parser.php

 

		/*-------------------------------------------------------------------------*/
	// regex_code_tag: Builds this code tag HTML
	//
	/*-------------------------------------------------------------------------*/

	function regex_code_tag($txt="")
	{
			global $ibforums;

			$default = "\[code\]$txt\[/code\]";

			if ($txt == "") return;

			//-----------------------------------------
			// Too many embedded code/quote/html/sql tags can crash Opera and Moz
			//-----------------------------------------

			if (preg_match( "/\[(quote|code|html|sql)\].+?\[(quote|code|html|sql)\].+?\[(quote|code|html|sql)\].+?\[(quote|code|html|sql)\].+?\[(quote|cod
e|html|sql)\].+?\[(quote|code|html|sql)\].+?\[(quote|code|html|sql)\]/i", $txt) ) {
					return $default;
			}

 

При публикации в SQL теге определенного кода префикс таблиц в коде меняется на тот, который реально существует для данного форума. Как можно скрыть данную секретную информацию?

 

Для форума 2.1.х или 2.х предлагается добавить после этой функции в файле sources/classes/bbcode/class_bbcode_core.php

 

$this->ipsclass->DB->prefix_changed = 1;

 

а как быть с 2.0.х ?

[Ubivec]

У меня форум версии 2.2.2 в локальной сети

Вчера в разделе багрепорт появилось следующее сообщение от одного из пользователей

 

багрепорт:

Удалось стырить куки после того, как я создал ссобщение, перевел его в режим HTML, поставил JS-инъекцию в теге <H2>. Символы "<" и ">" удачно заменились на шестнадцатеричные и не фильтровались. отсылка куков произошла через обработчик onMouseOver на скрипт, который был размещен на моем хосте. Скрипт принял куки и добавил их в базу. После этого можно подменить свои куки стыреными и залогиниться под любым, кто навел указатель на текст вредоносного сообщения.

 

Возможно ли это и как с этим бороться. Ваше мнение !!!

 

вчера еще появилось сообщение

 

багрепорт:

Удалось произвести SQL-инъекцию в предпросмотре отправляемого сообщения или письма.

 

как избежать:

искать фильтры на ввод, и ввести в них шестнадцатеричные аналоги всех кавычек.

[Arhar]

перевел его в режим HTML

это уже верная гарантия уязвимости

никому кроме админов, да и админам тоже, нельзя позволять использовать html в сообщениях

[Ubivec]

перевел его в режим HTML

это уже верная гарантия уязвимости

никому кроме админов, да и админам тоже, нельзя позволять использовать html в сообщениях

 

В том то и дело что html запрещен и в форумах и пользователям, но!!!!

 

Если дать пользователю права администратора, но появляется кнопочка “ переключить на HTML код” в редакторе сообщения

 

И даже если потом права администратора убрать то эта кнопочка не пропадает. У простых пользователей её изначально нет.

[Piatociok]

Всем привет!Подскажите пожалуйста как прикрыть дырку через которую спам летит?Говорят что можно так сделать.Подскажите пожалуйста как.

[Sannis]

Это не дырка. Они просто регистрируются и спамят

Боты уже давно научились подтверждать регистрацию по мылу

Анти-спам модификации

+ во Флейме есть тема

+ можно сделать доп. поле при регистрации с маской.

[Alex I]

Господа, будьте добры, посмотрите советы некого хакера по взлому версии 1.3

Здесь.

Есть ли противоядие от данной проблемы?

Один из форумов в списке прекратил своё существование где-то через 2-3 дня от даты первого поста.

Есть у меня подозрение, что его так и сломали.

[Sannis]

К сожалению кода эксплоита там уже нет, и определить уязвимость довольно трудко. Вы правильно сделали, что зашли на Сисман, советую проверить все фиксы, которые там выложены.

[Alex I]

Практически все заплатки от уязвимостей, выложенные Song, я наложил на файлы.

Единственное, мне показалось, что некоторые из них дублируют друг друга, а что-то я просто у себя не нашел.

Но об этом на сисмане.

Song и вам - большое спасибо за отзывчивость

Не подскажете, как обезопасить форум от метода, предложенного Algol здесь?

[Song]

chmod на emoticons выключить.

 

Да и собственно если форум не уязвим, то никто в админку не проберётся.

 

Господа, будьте добры, посмотрите советы некого хакера по взлому версии 1.3

Здесь.

Есть ли противоядие от данной проблемы?

Один из форумов в списке прекратил своё существование где-то через 2-3 дня от даты первого поста.

Есть у меня подозрение, что его так и сломали.

 

Это давнишний боян, там описывается сплойт по автологину.

[Alex I]

Song, спасибо

[Arhar]

Полууязвимость

Не уязвимость ipb!

Недостаточная обработка $_SERVER["argv"]

2.1.6

в админцентре

admin.php?adsess=0&phpinfo=<script>alert()</script>

2.3.1

в админцентре

admin/index.php?adsess=0&section=help&act=diag&phpinfo=1&check=<script>alert()</script>

 

 

решение

2.1.6

./sources/action_admin/index.php

найти

$php_body  = $match1[1];

заменить на

$php_body  = $this->ipsclass->xss_html_clean($match1[1]);

по необходимости добавить функцию xss_html_clean в ipsclass

функцию можно найти в 231 ipsclass или в теме "XSS в дневниках" в разделе mJournal

 

2.3.1

./sources/action_admin/diagnostics.php

$php_body  = $match1[1];

->

$php_body  = $this->ipsclass->xss_html_clean($match1[1]);

 

[Song]

А это тоже самое?

 

Полууязвимость

Не уязвимость ipb!

Это называется "Пассивная XSS"

[Arhar]

нет

тот патч он для ббкодов

а это при просмотре phpinfo()

причем даже создав файл

<?php phpinfo(); ?>

можно добится такого же результата в нем

полууязвимость не потому, что это пассивная xss

это активная xss

единственное но - только зная сессию админа можно чего-то добится

поэтому полууязвимость

с весьма малой вероятностью

 

P.S. пассивная xss подразумеваю, что только свои куки можно угнать

тут можно угнать куки тупого админа, заставив его дописать в адресную строку в админке какую-нибудь гадость

[seba]

а чего по вчерашней уязвимости ничего нет? я имею ввиду ручные исправления.

http://forums.invisionpower.com/index.php?showtopic=270637

[Sannis]

а чего, вам их должны? куда вы смотрите, давно есть.

[seba]

Sannis

а чего, вам их должны?

да Бог с Вами, не должны конечно. к тому же я и сам у себя все исправил.

но почему в Общих вопросах, а не в спец. теме по исправлениям?

[Arhar]

гл.админы в отпуске)

[Sannis]

Sannis

а чего, вам их должны?

да Бог с Вами, не должны конечно. к тому же я и сам у себя все исправил.

но почему в Общих вопросах, а не в спец. теме по исправлениям?

Потому что мне так захотелось, тем более там не только security фиксы.

[GonZO]

Подскажите, а та бяка, которой ломают 2.1.7 (forum.bel.ru) -- известный баг?

Модифицируют class_display.php, вставляя вместо копирайта ссылку на левый форум, перед этим переадресацию влепили на тот же форум.

это шеллскрипт ловить, или дырка где-то?

[Sannis]

Все дыры 2.1.7 описаны в документации(ссылка в шапке) и в этой теме. Искать шелл, но заливают его ж либо по ФТП, либо через уязвимость, так что нельзя эти вещи рассматривать отдельно.

[vint1]

У меня взломали форум.

С утра вчерашнего дня до утра сегодняшнего ожидают активации более 80

пользователей. У меня активация установлена по ссылке пользователем, а затем

администратором. Так вот есть много ожидающих активации администратором, т.е.

якобы прошли регистрации по ссылке через e-mail адрес.

Срочно создайте обновление безопасности для моего форума.

Василий.

[nafigator]

У меня взломали форум.

С утра вчерашнего дня до утра сегодняшнего ожидают активации более 80

пользователей. У меня активация установлена по ссылке пользователем, а затем

администратором. Так вот есть много ожидающих активации администратором, т.е.

якобы прошли регистрации по ссылке через e-mail адрес.

Срочно создайте обновление безопасности для моего форума.

Василий.

Я считаю, это надо вписать в анналы истории