PDA

View Full Version : Friendly hack



TijAY
17-09-2007, 22:20
Предлагаю в этой теме делиться впечатлениями и советами по безопасности сайтов. Не буду выпендриваться, типа какой круть и все такое... Чисто информация и все! Нравится идея? :)

МакарЧег
17-09-2007, 22:57
Думаю, что да! А ещё бы хотелось знать не только об безопасности сайтов, но и форумов. ;)

PGArchangel
18-09-2007, 00:16
гг ) темка радует ))

Форум: vbulletin 3.6.7 Null от Ateist
Нашёл в таком форуме xss-язву в теге background (установка цвета фона). Тег устанавливает цвет фона через стили, никаки проверок на правильность введённого цвета нету, можно встроить любой код. Есть 2 варианта использования:
1) java script: ....;

Работает только в ИЕ6.
В слово Javascript просто вставляется символ Tab, это позваоляет обмануть парсер, который после слова Javascript (и т.п.) вставляет <b></b> (как-то нелогично, но скрипт срывает ))).
2)Через выражение expression:
expression(eval('текст скрипта'));
Для запуска скрипта используется eval, т.к. внутри expression'а может быть только одно выражение.
В тексте скрипта необходимо заместо кавычек использовать выражение String.fromCharCode(39);
Пример:
expression(eval('alert('+String.fromCharCode(39)+' БУ!'+String.fromCharCode(39)+')'));

----
Пример использования язвы (не помню, рабочая версия или нет, но тестовый):

Траляля

В кукизах создаётся параметр, чтобы в течении текущей сессии от него данные шли только один раз, expression имеет особенность выполнять скрипт бесконечное число раз из-за прорисовок страницы и просчитывания положения элементов. :) Функции для работы с кукизами встроены в скрипты форума. :)

-------
Таким образом легко можно внедрить в форум js-файл, или просто вставить картинку со сниффером.

При воровстве кукизов мешает флаг httpOnly. Обойти его можно используя XST (хотя некоторые серверы могут блокировать trace-запросы), работает на ИЕ6 с патчами, на ИЕ7 уже не работает. Тем не менее, этого может хватить, чтобы получить хэш админа, если он сидит на ИЕ6.

--------
Чтобы исправить язву, нужно либо запретить тег, либо ввести в нём проверку на наличие ";" и ":" (этого вполне хватит, по-моему). Подробностей не скажу, т.к никада не видел исходников этого форума. :)

Это по поводу Буллетина) По другим форумам последний годик не зыркал язв ))

PGArchangel
18-09-2007, 00:23
Хотел вообще высказать мысль, что vBulletin довольно-таки надёжен и его трудно взломать. :) И не ставьте null'ы от всяких типов )))

Ещё хотел сказать, что IPB 1.3 - супердырявый форум!!!! Но у меня стоит именно он. :) Если с ним хорошенько поработать, исправить XSS, включить флаг httpOnly для member_id и passhash, убрать язву с заливкой "не-смайлов" в админке, убрать язву при логине, на которой работают эксплоиты для подбора хэшей, то будет хороший и надёжный форум, т.к. после всех исправлений бушь его наизусть знать ))))

TijAY
18-09-2007, 15:05
Признаюсь в страшном: когда создавал эту тему, у меня уже была наработка на эту тему! И мне особенно приятно слышать (читать то есть) сообщения о секьюрности! :р

По желанию могу вывалить скрин админки, что там можно понаделать...
Но я думаю, что автору модового сайта будет интересней узнать что ему надо поправить, нежели как его ломали....

Мне думается, что проникновение без использования инфы в корыстных целях не будет караться? :)

PGArchangel
18-09-2007, 18:25
Эм... :) Да вообще-то хищение пароля/хеша - это уже кража информации... ))) Поэтому это надо делать через несколько проксиков, и точно также можно зарегать мыло через прокси и послать им анонимное письмо... :)

А чё за скрин? :) И чё за сайт? :)

TijAY
19-09-2007, 12:46
Вот скрин - пароль для доступа сюда не обязателен.... :)

PGArchangel
19-09-2007, 15:38
гг ) Прикольно ) Так чисто интересно, взломал через форум или на сайте есть язва? ) Напиши в личку подробности. :) И ещё как давно ты это сделал? )

TijAY
19-09-2007, 17:11
17.09.2007 - сначала просмотр каталогов, анализ кода, подбор инструкции к апачу... кривой апач - большая жопа... :(

а насчет иньекций в бд - есть пара-тройка линков на примете. но нет особенно времени на просмотр.

PGArchangel
19-09-2007, 17:35
17.09.2007 - сначала просмотр каталогов, анализ кода, подбор инструкции к апачу... кривой апач - большая жопа... :(

а насчет иньекций в бд - есть пара-тройка линков на примете. но нет особенно времени на просмотр.
Насчёт инъекций в БД - именно в сайте их не может быть. :) БД файловая пока ещё, MySQL подключена только в одном плагине и то там инъеций вообще не может быть. :) Но скоро всё же на MySQL прйдётся перейти...

TijAY
19-09-2007, 18:19
знаешь, мне как раз кое-какие воспоминания из разговор с тобой и пригодились.. вобщем, особо не заморачивайся, а просто нормально сконфигурируй апач. а то не только тебя поломают, но и соседей по хосту, если он только не в chroot'e..

поймите самое главное: цель темы - не показать какой кто тут круть, какой офигенный пацанчег и прочее. тема для обмена опытом, реальным опытом. обратив внимание на некоторые раскрытые здесь аспекты мы сможем сделать свои сайты более защищенными. а это - наше время, наши деньги...

был случай, когда один ресурс ломался так же "дружески" - на вопрос админу о наличии бекапа, получил ответ: а мы тут пиво пьем.. :)

сам грешен - бекап делается нерегулярно. поэтому может быть есть смысл выбирать хостера по-серьезней? кстати, как вам тема о хостерах? либо же уметь самостоятельно написать скрипты по авто-бекапу.... кому как проще.

повторюсь, тема не о том, у кого длиннее, а как сделать так, чтобы не облажаться!

Netwanderer
18-10-2007, 13:02
Ну тема-то, допустим, нужна.. А вот кто протестит на дырки мой сайтег? Чисто и вам потренироваться, и мне поглядеть - что я не учел... Адрес в подписи. Токо чур ничего не ломать на сайте! =)

TijAY
18-10-2007, 13:08
У некоторых пользователей ни аватары, ни подписи не отображаются, чтобы смысловую нагрузку сообщений лучше видеть :)

А что дашь за свой сайт? ;) Ссылку на главной?

Joomla! - конечно хороший CMS. Но:
http://projector.gigafreehost.net/administrator/ - в правом верхнем смотрим версию. Там чотка - 1.0.12

А что это значит? ЧТо версия 1.0.13 прошла стороной :) Не считая версий компонентов и расширений...

Blacker
18-10-2007, 16:18
Я бы не спешил переходить на 13
http://joomlaportal.ru/content/view/1371/70/

TijAY
18-10-2007, 16:48
Здесь речь идет не о дырах, а о несовместимостях. Если известно, то в версии 1.0.13 была введена переменная, отвечающаю за совместимость с компонентами и модулями. Может что-то работает и не так. Но для чего используется CommunityBuilder? Или всякие коннекторы-мосты? Для интеграции, например, с форумами. Как это влияет на проблемы безопасности, которые исправил этот релиз? У меня стоит несколько сайтов на 13-ой версии. И ничего. Если вспомнить флейм на русскоязыном портале, то все страхи сводились к суевериям на тему 13-го релиза. Вот и все.... Мое мнение.

Blacker
18-10-2007, 17:13
Я не спорю что 13 безопаснее, имелось в виду проблема с совместимостью. Да сайт будет безопаснее, но потеряет свой функционал за счёт несовместимости расширений. ИМХО
Я бы подождал выхода компонентов, а потом только обновился

TijAY
18-10-2007, 17:50
Если на сайте нет ничего, что несовместимо с новой версией, то чего ждать? Налетов турецких хацкеров?

PGArchangel
19-10-2007, 01:15
Слух, Тидж, тут знакомый ищет новый хостинг, чтоб ты мог посоветовать? То есть, какой у них там должен быть версии апач, PHP, MySQL, чё понадёжнее? :)

TijAY
19-10-2007, 10:19
Вопрос немного не по теме. Хостеров обсуждаем здесь - http://www.azov.info/forum/showthread.php?t=5605

PGArchangel
19-10-2007, 10:33
Я не про хостеров. А про, например, версии апача, в которых htaccess работает правильно. ) Я так понял, что ты хорошо разбираешься в багах и язвах апача. )

TijAY
19-10-2007, 11:21
.htaccess работает во всех версиях нормально. бывает неверно сконфигурированный файл, неправильно настроеный аппач.

Хостеры, особенно серьезные, связаны с клиентами договором обслуживания. И тупо ставить новую версию софта с исправленными дырками и глюками они не могут. В силу разных причин.

Аппач пойдет почти что любой. Он идет в комплекте с операционной системой, потому выбор версии не особенно актуален. Соответстсвенно php - чем новее, тем лучше. По своему опыту: рбк подходит к выбору php на сайте очень интересно. Берешь свой htaccess, раскомментируешь нужную строку, закомментируешь другую - и валяй что хочешь! Старый, новый, стабильный - все легко!

А вот с сервером БД дела обстоят сложнее. Чтобы его обновить, требуется остановить все сайты, которые используют данный сервер. Но это проблемы хостера. А пользователю - хосты работают только на localhost, либо и во внешнюю сеть. Мне больше нравится пятый mysql, по многим причинам.

Вот и все что могу сказать. Порекомендовать - прочесть краткий курс настройки Apache. Ничего сложного, а пригодится еще не раз. Другой вариант - моды аппача. Их правила тоже прописываются там же. :)

TijAY
23-11-2007, 21:26
Взломан сайт проекта XP-Antispy
CMS Joomla версии 1.0

Куда смотрел админ сайта? ;)
http://xp-antispy.org/administrator/