Next Generation CMS :: Форум поддержки
Вы не вошли.
- Темы: Активные | Без ответа
Объявление
Страницы 1
#1 2010-05-04 10:55:57
В движке есть дырка...
Сегодня утром меня поломали. Нашли дырку в движке. Получили доступ к аккаунту одного из редакторов, затем грохнули немного страниц и повесили новостью "сайт взломан". Очевидно что юзали "стандартный набор уязвимостей в PHP". На больше не хватило.
Вот собственно сами логи. Я не уверен, но речь может идти о "картинке с инъекцией, меняющей пароль 'stophacker'. Плюс старый пароль к нему тоже каким-то образом попадает."
Жду мнения экспертов 8)
Вне форума
#2 2010-05-04 13:03:33
Re: В движке есть дырка...
Luca, посмотри на строку 18601, явная попытка получить куки через плагин uprofile. Как временное решение проблемы, отключи запоминание пользователей между сеансами
Всегда ищу разработчиков в Киеве!
Ищешь работу программистом, пиши мне на ArnitUA@gmail.com
Вне форума
#3 2010-05-04 13:29:30
Re: В движке есть дырка...
2010-05-04 03:46:15 GET /plugin/uprofile/apply/ editpassword=&editmail=&editsite=javascript%3Aalert%28document.cookie%29&editicq=&editfrom=%3C%3E&editabout=%3C%3E&newavatar=&newphoto=&plugin_cmd=apply - 212.75.198.132 HTTP/1.0Ну вот походу начинается...
Отредактировано Luca (2010-05-04 13:32:32)
Вне форума
#4 2010-05-04 14:52:34
- infinity237
- Модератор
- Откуда: Russia, Moscow
- Здесь с 2008-11-09
- Сообщений: 2,674
- Рейтинг : 176
- Сайт
Re: В движке есть дырка...
Лично я не увидел в логах ничего такого, чтобы могло повлечь за собой такие последствия. (Нужно больше логов, имхо.)
То что кто-то напишет в поле "Сайт" javascript:alert(document.cookie) и что дальше? В лучшем случае он сможет уидеть свои куки.
Для того чтобы украсть сессию нужнен полноценный веб-сниффер + правильное использование, т.е. через document.write или через scr.
+ Желательно обновится до 0.9.2 RC1, там кое что было закрыто.
Вне форума
#6 2010-05-05 22:22:58
Re: В движке есть дырка...
Luca, в SVN выложен обновлённый плагин uprofile.
Ты, видимо, разрешил всем подряд писать новости, а скорее всего ещё и публикуются они у тебя автоматически... в этом случае действительно можно провести атаку на сайт.
Вне форума
#7 2010-05-06 19:17:41
Re: В движке есть дырка...
vitaly,
Я дал ~ 5 пользователям права редакторов и еще около 15 сидят с правами журналиста. Как я понимаю галочка "опубликовать на главной" у редактора активна и он может пропустить новость сразу на главную. Журналисту же нужно одобрение администратора или редактора. Было бы хорошо в перспективе получить возможность более явно раздавать права пользователям. Ну т.е. чтобы можно было проставить галочки на против ряда пунктов к которым пользователь может получить доступ. Типа того "добавление на главную", "удаление новости", "удаление комментариев"...
Просто сейчас, когда на сайте обитает очень много народу появляется масса сложностей с разделением прав. Хочется чтобы был аналог пула новостей (как на ЛОР), чтобы каждый желающий мог добавить новость и потом администрация могла удалить или пропустить ее. Сейчас есть какой-то хак, типа: "все пользователя регистрируются со статусом журналиста", но это ИМХО не очень правильный вариант...
Отредактировано Luca (2010-05-06 19:17:49)
Вне форума
#8 2010-06-25 15:29:53
Re: В движке есть дырка...
Вопрос касаемо изменений в http://trac2.assembla.com/ngcms/changeset/581
Какой-то дикий метод просить у меня пароль еще раз, если я уже залогинен, для изменения моего номера ICQ. Ни на одном сайтике такого не встречал.
Вне форума
#9 2010-06-25 23:11:35
Re: В движке есть дырка...
Wolverine, это как раз закрывает потенциальную XSS уязвимость, иначе любой желающий при определённом стечении обстоятельств сможет сменить твои персональные данные.. а по поводу "ни на одном сайте" - зайди на почту mail.ru, гугла и другие сайты.. да даже на vkontakte и одноклассниках надо (кажется) вводить свой пароль при подобных изменениях.
Вне форума
Страницы 1
- Сейчас в этой теме пользователей: 0, гостей: 1
- [Bot] ClaudeBot
[ Сгенерировано за 0.011 сек, 7 запросов выполнено - Использовано памяти: 564.11 Кбайт (Пик: 585.11 Кбайт) ]