Ув, админ, случайно наткнулся на XSS уязвимость на форуме, решил раскрутить - там несколько уязвимостей ещё и в методе передачи данных, плюс отсудствует защита от DDoS. Хватит прямых рук и канала 30+ м\бит, что бы уложить сервер.

Вообщем если интересно - скажи куда писать. Напишу где уязвимость и как исправить.

Pirotexnik, Напиши админу в личку

оу, реально! Эт плохо

звучит как будто автор топика хак-конструктор

Не, на самом деле владея хотябы малейшими знаниями в данной сфере, можно глянуть и проверить, XSS - это недоработка в фильтре, приложении. Вещь не очень хорошая.

Pirotexnik, это вам Havij такое заключение выдал на основе проверки одной единственной ссылки? Есть сомнения в корректности диагностики, но в любом случае пишите - посмотрим.

Havij - не сканит, а раскручивае конкретные дыры - это раз.
Havij - не умеет раскручивать XSS - это два.
XSS не раскручивают - это три.

Форма поиска на форуме - пасивная XSS.
POST запрос.
Параметр - "text"
"/><script>alert("XSS")</script>

Страничка profile.php
переменная "u"
Пасивная XSS
http://forum.mcserver.ru/profile.php?u="/><script>alert("XSS")</script>

--- Добавлено в 2011-10-03 16:20:04

Ах, да. Как исправить: написать фильтр, который будет отрезать из запроса мета-символы.


--- Добавлено в 2011-10-03 16:22:38

Опасность этой уязвимости, в том, что можно залить любую кликабельную картинку, и при переходе по ссылке будет невидимый пасивный хсс.
Например
http://forum.mcserver.ru/profile.php?u="/><script>alert(document.cookie)</script>
выдаст куки. Куки не шифруются. Сейчас я мог вам (админ) дать ссылку, и зайти с вашими куками.

исправлено

Да, еще с первого моего постав это проверил, но данный скрипт Самый распространенный XSS , наблюдаеться во всех местах где плохая фильтрация а суть вся в ( "> )

к счастью нет - ни та, ни другая уязвимость не могли быть использованы для кражи куков, попробуйте.

Могли) Причем вполне. Смотрите, я пишу масенький скриптик, который создает невидимый фрэйм, и ссылается на другой скриптик. Другой скриптик (во врэйме) получает куки(которые идеально отражаются) и записует их в файлик на бесплатном хостинге. Это довольно старая уязвимость, но действенная.

p.s.
Но они были, и они могли быть использованы. По статистике на 100 строк кода - 3-15 ошибок. В зависимости от кодера.
Ищем ещё одну ;)


--- Добавлено в 2011-10-03 16:35:06


Так уже профикшено ведь

Ну зачем на бесплатном хостинге? Можно сниффером воспользоваться.

Дабы эпичние было) Да и снифер прийдётся куда-то заливать всеравно)

Хотя да, отвык я просто от бесплатных хостингов и т.п.

невозможность вставки в качестве ссылки на картинку подобного рода урлов была изначально

Согласен, он выкладывался в сообщении чисто в виде текста, преобразования в виде ссылки не происходило.

Ладно, теперь точно нету)
Кста, а можно личный вопрос?
Какое отношение mcserver имеет к hiasm.com?

Тем не менее участившиеся попытки взлома сайта говорят о том, что пора выделить время на усиление мер защиты.


несколько программистов с этого проекта помогают развивать и улучшать сервер.

Я говорю про сам ресурс. Тоесть судя по всему при взломе хиазма - будет полный доступ к форуму точно.

БД же разные, вроде.
Хотя я в этом не сильно шарю %)

Если я правильно понял тебя, ты имеешь ввиду если взломают hiasm.com, то будет доступ к mcserver.ru?
Я бы наоборот боялся что если mcserver подвергнится подобному, то и hiasm.com может быть под угрозой.

простите за офф топ, но мне это напоминает батл)

смотря какой уровень взлома имеется ввиду

В том то и фишка, что одинаковые, а точнее она одна и на хиазме.

Нет, бд хранится на хиазме.

Таки нет. Тут 2 человека показывают свои знания, и 1 их судит

Доступ к бд. Там стоит СВН. Он имеет дырочки. Но не серьёзные. Щас покручу хиазм, может найду что.

Pirotexnik, сервер базы данных висит на отдельной машине и он один(во всяком случае пока), но бд у проектов разные и никак не связаны друг с другом.

я был прав
ня ня ня %)

В принципе правильно, было бы глупейшей ошибкой делать 2 и более проектов на одной бд. Но частые подения серверов причина которой является DDOS атаки, это всё таки печально. А ведутся работы по улучшению безопасности от таких террористов?

Я заметил, что при регистрации запрос идёт на хиазм) Тоесть на ту самую одну машину.

эх) хочу отдохнуть от дурацкой учёбы, работы, дома(
И исчё хочу свою деревушку на 1.8 ^^ няяя)

Значит на этих словах конец теме?,...

топология домена несколько сложнее, чем может показаться на первый взгляд. Но эта тема уже выходит за рамки открытой дискуссии.

Супер-меч против Мего-щита. Нет идиальной защиты, нет уникальной атаки. По мере возможностей буду искать дыры.

И входит в рамки приватной?) Есть время и скайп?
p.s. Админ, а зовут то тебя как?

поиск по запросу jabber даст все необходимое

Не нагло?)

а что наглого в том что человек спросил другого человека его имя?

В википедии за 5 секунд можно узнать

Формулировка не та, как по мне.

А как по мне - нет ничего наглого в том, что что люди интересуются именем тех, с кем общаются.

p.s. Давайте не будем разводить холивары.

Админ на форуме никогда не переходит на личности

именно так меня и ограбили в октябре, каким то образом человек прописался ко мне и вычистил дом))

чож не у кого другого не чего не угнали и в интернете не слили БД аккаунтов?

Ты небось поставил пароль из 4х-6 цифр и думаешь что его фиг кто нафорсит.

просто твой дом вынесли крипперами или яд.тнт, ну или все таки ты прописал.