Страница 1 из 1
Безопасность
Добавлено: 20 июн 2008, 15:42
Cannon
Странно, что нет такой темы...
От этого может зависить не только безопасность самого портала, но и рядовых пользователей.
Админы fighting.ru латайте активную XSS
http://fighting.ru/index.php?sect=ratings&player=<script>alert(/XSS/);</script>
Причина: недостаточная фильтрация переменной.
Позволяет злоумышленнику внедрить произвольный код путём передачи его в качестве значения нефильтруемой переменной.
Последствия: злоумышленник может получить куки целевого пользователя
Устранение уязвимости:
Включить в скрипт обработку на наличие запретных символов, таких, как: <,>,’,” и многих других.
Re: Безопастность
Добавлено: 20 июн 2008, 16:04
hate264
Э? А мы разве спец.символы не эскейпим?..
Re: Безопастность
Добавлено: 20 июн 2008, 16:08
Cannon
Как видишь нет...
Вот те пример:
вбей в адресную стороку:
_http://fighting.ru/index.php?sect=ratings&player=%3Cscript%3E%20%20%20%20function%20mycookie()%20{%20%20%20%20document.cookie%20=%20%22Cookie=Value%22;%20%20%20%20alert(document.cookie);%20%20%20%20}%20%20%3C/script%3E%20%20%3CFORM%3E%20%20%20%20%3CINPUT%20TYPE=BUTTON%20OnClick=%22mycookie();%22%20VALUE=%22%CC%CE%C8%20%CA%D3%CA%C8%22%3E%20%20%3C/FORM%3E
Re: Безопастность
Добавлено: 20 июн 2008, 16:23
BioLogIn
Cannon
спасибо, сегодня разберемся.
Re: Безопастность
Добавлено: 20 июн 2008, 16:46
BioLogIn
хм, какие у нас интересные вещи в этом скрипте живут...
ну эту-то дырку я закрыл, подробно остальные штуки буду проверять ночью наверное.
Re: Безопастность
Добавлено: 22 июн 2008, 19:25
Ireul
Воспользуюсь имиджем зануды, чтобы заявить что название темы написано неграмотно.
Re: Безопастность
Добавлено: 23 июн 2008, 16:49
Cannon
BioLogIn дай свою контактную информацию. (желательно ICQ)
Расскажу как добыл админовские пароли, а так же как этого избежать.
А так же скажу пару слов о вашем хостинге.
Re: Безопастность
Добавлено: 23 июн 2008, 17:09
BioLogIn
Cannon
как интересно. может все же хеши, а не пароли? или ты про хостинг, а не про форум? тогда значит "админские"? но в любом случае, пообщаться было бы интересно... в аське я бываю редко, напиши на biologin001 [гав] gmail.com, пжалст. или в google talk постучи...
Re: Безопастность
Добавлено: 23 июн 2008, 22:27
Motaro
Он имеет ввиду просто дырки в движке форума,которые кулхацкеры юзают
Или дыры в безопасности у самого хостера.Пароли получить в принципе реально
Re: Безопастность
Добавлено: 23 июн 2008, 22:39
BioLogIn
Motaro
гм. Cannon имел в виду дыры в некоторых скриптах, которые мы используем на ф.ру, и он по делу говорит. в форумах наших (ПХПбб3.0.1) сейчас опасных для нас или клиентов эксплойтов не существует, хотя разве что твои таинственные кулхацкеры...
словом, без обид, но Cannon дело пишет, а ты, по-моему, не очень. разве что ты решишь развеять первое впечатление и решишь пояснить, какие именно "пароли" добыть "в принципе реально".
Cannon
письмо получил, сейчас отвечу. большое спасибо за правильный подход.
Re: Безопастность
Добавлено: 24 июн 2008, 01:08
Motaro
да я как то криво очень написал на самом деле
вовсе не то,что написал ,имел ввиду)
все,проехали!