Next Generation CMS :: Форум поддержки
Вы не зашли.
- Темы: Активные | Без ответов
Объявление
Страницы 1
#1 2010-05-04 11:55:57
В движке есть дырка...
Сегодня утром меня поломали. Нашли дырку в движке. Получили доступ к аккаунту одного из редакторов, затем грохнули немного страниц и повесили новостью "сайт взломан". Очевидно что юзали "стандартный набор уязвимостей в PHP". На больше не хватило.
Вот собственно сами логи. Я не уверен, но речь может идти о "картинке с инъекцией, меняющей пароль 'stophacker'. Плюс старый пароль к нему тоже каким-то образом попадает."
Жду мнения экспертов 8)
Не в сети
#2 2010-05-04 14:03:33
Re: В движке есть дырка...
Luca, посмотри на строку 18601, явная попытка получить куки через плагин uprofile. Как временное решение проблемы, отключи запоминание пользователей между сеансами
Всегда ищу разработчиков в Киеве!
Ищешь работу программистом, пиши мне на ArnitUA@gmail.com
Не в сети
#3 2010-05-04 14:29:30
Re: В движке есть дырка...
2010-05-04 03:46:15 GET /plugin/uprofile/apply/ editpassword=&editmail=&editsite=javascript%3Aalert%28document.cookie%29&editicq=&editfrom=%3C%3E&editabout=%3C%3E&newavatar=&newphoto=&plugin_cmd=apply - 212.75.198.132 HTTP/1.0Ну вот походу начинается...
Изменено Luca (2010-05-04 14:32:32)
Не в сети
#4 2010-05-04 15:52:34
- infinity237
- Модератор
- Откуда Russia, Moscow
- Зарегистрирован: 2008-11-09
- Сообщений: 2,674
- Рейтинг : 176
- Сайт
Re: В движке есть дырка...
Лично я не увидел в логах ничего такого, чтобы могло повлечь за собой такие последствия. (Нужно больше логов, имхо.)
То что кто-то напишет в поле "Сайт" javascript:alert(document.cookie) и что дальше? В лучшем случае он сможет уидеть свои куки.
Для того чтобы украсть сессию нужнен полноценный веб-сниффер + правильное использование, т.е. через document.write или через scr.
+ Желательно обновится до 0.9.2 RC1, там кое что было закрыто.
Не в сети
#6 2010-05-05 23:22:58
Re: В движке есть дырка...
Luca, в SVN выложен обновлённый плагин uprofile.
Ты, видимо, разрешил всем подряд писать новости, а скорее всего ещё и публикуются они у тебя автоматически... в этом случае действительно можно провести атаку на сайт.
Не в сети
#7 2010-05-06 20:17:41
Re: В движке есть дырка...
vitaly,
Я дал ~ 5 пользователям права редакторов и еще около 15 сидят с правами журналиста. Как я понимаю галочка "опубликовать на главной" у редактора активна и он может пропустить новость сразу на главную. Журналисту же нужно одобрение администратора или редактора. Было бы хорошо в перспективе получить возможность более явно раздавать права пользователям. Ну т.е. чтобы можно было проставить галочки на против ряда пунктов к которым пользователь может получить доступ. Типа того "добавление на главную", "удаление новости", "удаление комментариев"...
Просто сейчас, когда на сайте обитает очень много народу появляется масса сложностей с разделением прав. Хочется чтобы был аналог пула новостей (как на ЛОР), чтобы каждый желающий мог добавить новость и потом администрация могла удалить или пропустить ее. Сейчас есть какой-то хак, типа: "все пользователя регистрируются со статусом журналиста", но это ИМХО не очень правильный вариант...
Изменено Luca (2010-05-06 20:17:49)
Не в сети
#8 2010-06-25 16:29:53
Re: В движке есть дырка...
Вопрос касаемо изменений в http://trac2.assembla.com/ngcms/changeset/581
Какой-то дикий метод просить у меня пароль еще раз, если я уже залогинен, для изменения моего номера ICQ. Ни на одном сайтике такого не встречал.
Не в сети
#9 2010-06-26 00:11:35
Re: В движке есть дырка...
Wolverine, это как раз закрывает потенциальную XSS уязвимость, иначе любой желающий при определённом стечении обстоятельств сможет сменить твои персональные данные.. а по поводу "ни на одном сайте" - зайди на почту mail.ru, гугла и другие сайты.. да даже на vkontakte и одноклассниках надо (кажется) вводить свой пароль при подобных изменениях.
Не в сети
Страницы 1