Комментарии 41
link — уязвимости уже несколько месяцев, и судя повсему 3.х тоже подвержена ей.
А можно хотя бы картинку под кат спрятать? Больно уж она большая.
Вы выложили описание уязвимости тут чтобы пол интернета взломали друг друга? Может лучше было сказать или продать разработчикам…
Чуть выше по тексту — разработчики в курсе. И эксплойт уже начал свой путь по городам и весям (читай — на десятке тематических форумов уже есть). Вопрос неоднозначен, но пусть лучше все знают и предпринимают меры по защите, чем знать только тем, кто целенаправленно занимается взломом?
Что и требовалось ожидать — не перевелись еще идиоты, делающие парсеры тегов на голых регекспах.
вы предлагаете способ с одетыми регекспами?
и не переведутся. потому что это просто и удобно. и быстро. да и идиотами они являются только в воображении всякой там школоты, недавно осилившей «хелло, ворлд» написать
Для домашней странички Василия Пупкина — пойдет.
Для сайта посерьезней — нет, т.к. не будет выполнять свою функцию, отсюда нерабочий вариант не может быть ни простым, ни удобным, ни быстрым.
1) Отсутствие отладки.
2) Человеческий фактор.
3) Сложность поддержки и доработки(!!)
BB теги оставим тем, кому надо лишь u/i/b, для чего-то сложного не пойдет по указанным выше причинам.
Для сайта посерьезней — нет, т.к. не будет выполнять свою функцию, отсюда нерабочий вариант не может быть ни простым, ни удобным, ни быстрым.
1) Отсутствие отладки.
2) Человеческий фактор.
3) Сложность поддержки и доработки(!!)
BB теги оставим тем, кому надо лишь u/i/b, для чего-то сложного не пойдет по указанным выше причинам.
ндя, а я как то с год назад перестал следить за багтраками, надо бы снова начать.
Пока школьники спят, быстренько отключим BBCode acronym.
[b]Narical[/b] спасибо.
[b]Narical[/b] спасибо.
Большое спасибо за информацию. Я отключил BBCode в подписях, но достаточно ли этого, если я не запретил тег acronym? (просто пока не нашел, где его запретить).
Я не умею проверить уязвим ли еще форум или нет, прошу помочь с проверкой — кто умеет — в личку напишите, скажу адрес форума, или в Личку киньте код для примера, который нужно разместить в подписи. Спасибо.
Я не умею проверить уязвим ли еще форум или нет, прошу помочь с проверкой — кто умеет — в личку напишите, скажу адрес форума, или в Личку киньте код для примера, который нужно разместить в подписи. Спасибо.
копипаста с форума:
Насчет «решается удаление тега acronym» — его надо выпиливать из кода IPB, что сложно. Но в принципе, ничего страшнее порушенной разметки он не несет — главное подписи отключить.
— дыра известна давно, еще с прошлого года.
— дыра есть и в 2.х, и в 3.х и связана с обработкой вложенных кодов,
— дыра явно активно эксплуатировалась всякими темными личностями и на публику попала случайно,
— в 2.х из-за дыры есть активная XSS (используется в подписях), что грозит вам уводом cookies, сиречь, сессии,
— в 3.х из-за дыры пока удается только попортить разметку страницы, однако, некоторые хакеры пишут о так же рабочей XSS,
— в 2.х проблема, вероятно, решается отключением BBCode в подписях и удалением тега acronym,
— в 3.х следует запретить обработку вложенных тегов для email, url, font, member, topic, blog, post, acronym, background. Возможно, другие теги так же уязвимы — не проверял.
Все примеры кода, ссылки на хакерские форумы и примеры использования эксплоитов высланы саппортам IPS и IBR.
Насчет «решается удаление тега acronym» — его надо выпиливать из кода IPB, что сложно. Но в принципе, ничего страшнее порушенной разметки он не несет — главное подписи отключить.
Пример на скрине — это как раз использование тега acronym. Насколько это страшно — решать вам. С другой стороны, это не увод сессии и не полный контроль над админкой.
Код в подписях отключил спасибо!
После того как я перешел с phpbb на ipb много лет тому назад — не помню, чтобы меня волновали подобные новости. А тут на тебе… Спасибо, всё везде запретил =)
Аналогично, турецкие хакеры замучали в свое время дефейсить phpBB, аналогично, перешел на ipb
Утоните, пожалуйста, каким образом запретили использование тега acronym?
Утоните, пожалуйста, каким образом запретили использование тега acronym?
Как рекомендуют выше:
в 2.6 удалил: Управление -> Дополнительные BB-коды -> Список BB-кодов
в 3 запретил разбор вложенных кодов: Внешний вид -> Содержимое сообщений -> BB-коды
в 2.6 удалил: Управление -> Дополнительные BB-коды -> Список BB-кодов
в 3 запретил разбор вложенных кодов: Внешний вид -> Содержимое сообщений -> BB-коды
Он не является встроенным в парсер. Достаточно зайти в админцентр, найти там управление дополнительными ББ-кодами и удалить оттуда этот ББ-код.
Советую вам перечитать документацию к форуму, иначе вам могут угрожать более безобидные проблемы.
Советую вам перечитать документацию к форуму, иначе вам могут угрожать более безобидные проблемы.
А у меня 20 форумов. Во все админки ручками не налазишься. :(
Поступил проще — в модуле сохранения подписей профиля пользователя добавляю синтаксическую ошибку в написание всех ивентов по маске on* (функция do_signature() в файле \sources\lib\func_usercp.php)
А потом уже по наработанной схеме автоматом по ftp пачкой рассылаю изменения на форумы.
На первое время должно помочь, пока не придумают что-нибудь более гениальное.
Поступил проще — в модуле сохранения подписей профиля пользователя добавляю синтаксическую ошибку в написание всех ивентов по маске on* (функция do_signature() в файле \sources\lib\func_usercp.php)
function do_signature()
...
// Parse post
...
$this->ipsclass->input['Post'] = preg_replace( "/on(.?)/i" , "-n\\1" , $this->ipsclass->input['Post'] );А потом уже по наработанной схеме автоматом по ftp пачкой рассылаю изменения на форумы.
На первое время должно помочь, пока не придумают что-нибудь более гениальное.
НЛО прилетело и опубликовало эту надпись здесь
Последние новости, Ritsuka@IBR:
Исправлено и для 2.3.6, и для 3.0.5. Патчи от IPS будут выложены сегодня.
один с авторов данной уязвимости попросил опубликовать этот комментарий
а вот она была опубликована еще в 2008 году.
для связи с автором можно использовать следующий емейл brainpillow@gmail.com, а еще туда можно отправить инвайт (:
каждый из админов (разговор шёл с тремя дядьками) или главных девелоперов, с которыми была осуществлена попытка «договориться» о раскрытии уязвимостей за некоторое материальное вознаграждение был повергнут в крайнюю степень недоумения. и с неподдельным и искренним удивлением они давали понять, мол, «такого способа поощрения не существует и вовсе, и мы впервые с таким сталкиваемся и не знаем что с вами делать». и это слова конторы, которая продаёт свой код.
а вот она была опубликована еще в 2008 году.
для связи с автором можно использовать следующий емейл brainpillow@gmail.com, а еще туда можно отправить инвайт (:
ссылка потерялась forum.antichat.ru/showthread.php?t=96612
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Активная XSS уязвимость в IP.Board v2.3.6