Next Generation CMS :: Форум поддержки

Заинтересовала наша система? Тогда этот форум для Вас!

Вы не зашли.

#1 2010-05-04 11:55:57

Luca
Участник
Зарегистрирован: 2009-03-19
Сообщений: 398
Рейтинг :   

В движке есть дырка...

Сегодня утром меня поломали. Нашли дырку в движке. Получили доступ к аккаунту одного из редакторов, затем грохнули немного страниц и повесили новостью "сайт взломан". Очевидно что юзали "стандартный набор уязвимостей в PHP". На больше не хватило.

Вот собственно сами логи. Я не уверен, но речь может идти о "картинке с инъекцией, меняющей пароль 'stophacker'. Плюс старый пароль к нему тоже каким-то образом попадает."

Жду мнения экспертов 8)

Не в сети

#2 2010-05-04 14:03:33

Amarelius
Модератор
Откуда Kiev
Зарегистрирован: 2008-10-24
Сообщений: 639
Рейтинг :   69 
Сайт

Re: В движке есть дырка...

Luca, посмотри на строку 18601, явная попытка получить куки через плагин uprofile. Как временное решение проблемы, отключи запоминание пользователей между сеансами 

e6943edad528aecf01ceb876d04f8405_pv.png


Всегда ищу разработчиков в Киеве!
Ищешь работу программистом, пиши мне на ArnitUA@gmail.com

Не в сети

#3 2010-05-04 14:29:30

Luca
Участник
Зарегистрирован: 2009-03-19
Сообщений: 398
Рейтинг :   

Re: В движке есть дырка...

2010-05-04 03:46:15 GET /plugin/uprofile/apply/ editpassword=&editmail=&editsite=javascript%3Aalert%28document.cookie%29&editicq=&editfrom=%3C%3E&editabout=%3C%3E&newavatar=&newphoto=&plugin_cmd=apply - 212.75.198.132 HTTP/1.0

Ну вот походу начинается...

Изменено Luca (2010-05-04 14:32:32)

Не в сети

#4 2010-05-04 15:52:34

infinity237
Модератор
Откуда Russia, Moscow
Зарегистрирован: 2008-11-09
Сообщений: 2,674
Рейтинг :   176 
Сайт

Re: В движке есть дырка...

Лично я не увидел в логах ничего такого, чтобы могло повлечь за собой такие последствия. (Нужно больше логов, имхо.)
То что кто-то напишет в поле "Сайт" javascript:alert(document.cookie) и что дальше? В лучшем случае он сможет уидеть свои куки.
Для того чтобы украсть сессию нужнен полноценный веб-сниффер + правильное использование, т.е. через document.write или через scr.
+ Желательно обновится до 0.9.2 RC1, там кое что было закрыто.

Не в сети

#5 2010-05-04 16:04:56

Amarelius
Модератор
Откуда Kiev
Зарегистрирован: 2008-10-24
Сообщений: 639
Рейтинг :   69 
Сайт

Re: В движке есть дырка...

Luca, ответил в личку


Всегда ищу разработчиков в Киеве!
Ищешь работу программистом, пиши мне на ArnitUA@gmail.com

Не в сети

#6 2010-05-05 23:22:58

vitaly
Администратор
Откуда Россия
Зарегистрирован: 2008-10-08
Сообщений: 2,823
Рейтинг :   118 

Re: В движке есть дырка...

Luca, в SVN выложен обновлённый плагин uprofile.
Ты, видимо, разрешил всем подряд писать новости, а скорее всего ещё и публикуются они у тебя автоматически... в этом случае действительно можно провести атаку на сайт.

Не в сети

#7 2010-05-06 20:17:41

Luca
Участник
Зарегистрирован: 2009-03-19
Сообщений: 398
Рейтинг :   

Re: В движке есть дырка...

vitaly,
Я дал ~ 5 пользователям права редакторов и еще около 15 сидят с правами журналиста. Как я понимаю галочка "опубликовать на главной" у редактора активна и он может пропустить новость сразу на главную. Журналисту же нужно одобрение администратора или редактора. Было бы хорошо в перспективе получить возможность более явно раздавать права пользователям. Ну т.е. чтобы можно было проставить галочки на против ряда пунктов к которым пользователь может получить доступ. Типа того "добавление на главную", "удаление новости", "удаление комментариев"...

Просто сейчас, когда на сайте обитает очень много народу появляется масса сложностей с разделением прав. Хочется чтобы был аналог пула новостей (как на ЛОР), чтобы каждый желающий мог добавить новость и потом администрация могла удалить или пропустить ее. Сейчас есть какой-то хак, типа: "все пользователя регистрируются со статусом журналиста", но это ИМХО не очень правильный вариант...

Изменено Luca (2010-05-06 20:17:49)

Не в сети

#8 2010-06-25 16:29:53

Wolverine
Модератор
Откуда Домодедово
Зарегистрирован: 2008-10-13
Сообщений: 3,538
Рейтинг :   160 
Сайт

Re: В движке есть дырка...

Вопрос касаемо изменений в http://trac2.assembla.com/ngcms/changeset/581

Какой-то дикий метод просить у меня пароль еще раз, если я уже залогинен, для изменения моего номера ICQ. Ни на одном сайтике такого не встречал.

Не в сети

#9 2010-06-26 00:11:35

vitaly
Администратор
Откуда Россия
Зарегистрирован: 2008-10-08
Сообщений: 2,823
Рейтинг :   118 

Re: В движке есть дырка...

Wolverine, это как раз закрывает потенциальную XSS уязвимость, иначе любой желающий при определённом стечении обстоятельств  сможет сменить твои персональные данные.. а по поводу "ни на одном сайте" - зайди на почту mail.ru, гугла и другие сайты.. да даже на vkontakte и одноклассниках надо (кажется) вводить свой пароль при подобных изменениях.

Не в сети

#10 2010-06-26 00:36:22

Wolverine
Модератор
Откуда Домодедово
Зарегистрирован: 2008-10-13
Сообщений: 3,538
Рейтинг :   160 
Сайт

Re: В движке есть дырка...

Зашел на Хабр, меняю данные, пароль не просят. ВКонтакте тоже не просит. Да и FluxBB, на котором крутится этот форум тоже. Все потенциально уязвимы? smile

Не в сети

Подвал раздела

Работает на FluxBB