IPB

Здравствуйте, гость ( Вход | Регистрация )

> Правильно формулируйте вопросы - Вам быстрей ответят

Перед подачей запроса воспользуйтесь сервисом Поиск. Возможно Ваш вопрос уже был задан и доступно быстрое решение.

Для максимально быстрого решения проблемы обязательно укажите:
- адрес Вашего сайта + наименование хостинга (локальный/внешний)
- номер установленного релиза PHPSHOP CMS FREE (Указывается в админпанели. Пример PHPShop CMS Free (сборка 34501).
- подготовьте принтскрин Вашей проблемы (снимок рабочего стола в момент ошибки) и прикрепите принтскрин в теме.
- укажите наименование и/или номер ошибки.
- подробно опишите алгоритм Ваших действий при выполнении поставленной задачи

Доступная документация: http://wiki.phpshopcms.ru

Самые свежие релизы в центре загрузки: http://phpshop.ru/page/downloads.html

Голосуйте и добавляйте свои идеи для PHPSHOP CMS FREE: http://idea.phpshop.ru/

 
Ответить в данную темуНачать новую тему
> PHPShop CMS Free Security Vulnerabilities Notification
htbridge
сообщение 9.12.2011, 0:52
Сообщение #1


Новичок
*

Группа: Пользователи
Сообщений: 3
Регистрация: 9.12.2011
Пользователь №: 2867
Версия CMS Free: 3.4
Создано сайтов: 1



Hello,

High-Tech Bridge Security Research Lab has discovered multiple security vulnerabilities in your product - PHPShop CMS Free.

Developers can contact us by email advisory (at) htbridge.ch for details.

Preview: https://www.htbridge.ch/advisory/multiple_v...p_cms_free.html

For any questions related to this notification email - please visit our General Information & Disclosure Policy page: https://www.htbridge.ch/advisory/disclosure_policy.html

Best regards,

High-Tech Bridge SA Security Research Lab
Перейти в начало страницы
 
+Цитировать сообщение
Worm
сообщение 9.12.2011, 8:02
Сообщение #2


Активный участник
***

Группа: Модератор
Сообщений: 2671
Регистрация: 30.12.2009
Из: Самара
Пользователь №: 213
Версия CMS Free: 34
Создано сайтов: Достаточно много



Интересненько (=
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 9.12.2011, 9:52
Сообщение #3


Администратор
***

Группа: Главные администраторы
Сообщений: 5619
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Фигаг, доросли до анализов больших контор, оценили таки наш продукт smile.gif
Написал поддержке, но скорее всего опять для сего действия нужна авторизация в админке, а спрашивается зачем делать инклюды когда в админке есть прямые запросы к SQL.
Перейти в начало страницы
 
+Цитировать сообщение
ElGato
сообщение 9.12.2011, 13:13
Сообщение #4


Я - не волшебник, я только лечусь
***

Группа: Модератор
Сообщений: 1009
Регистрация: 19.8.2010
Из: Екб. Подгорье
Пользователь №: 549
Версия CMS Free: 342-344



14 декабря узнаем ВСЁ! biggrin.gif
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 9.12.2011, 16:07
Сообщение #5


Администратор
***

Группа: Главные администраторы
Сообщений: 5619
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Прислали ребята отчет, как я и говорил для исполнения всего этого нужно быть авторизованным админом, спрашивается а зачем тогда получать кукисы админа, если ты сам админ и есть прямой доступ к базе. Главное что из вне нельзя ничего достать. В админку без авторизации не пройти smile.gif
Все равно спасибо конечно.
Перейти в начало страницы
 
+Цитировать сообщение
Worm
сообщение 9.12.2011, 23:21
Сообщение #6


Активный участник
***

Группа: Модератор
Сообщений: 2671
Регистрация: 30.12.2009
Из: Самара
Пользователь №: 213
Версия CMS Free: 34
Создано сайтов: Достаточно много



Быстро они. Надо пароли поменять (=
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 12.12.2011, 10:15
Сообщение #7


Администратор
***

Группа: Главные администраторы
Сообщений: 5619
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Цитата(Worm @ 9.12.2011, 23:21) *
Быстро они. Надо пароли поменять (=


Да не парьтесь, все это не страшно. Это из темы как украсть из своего бумажка сотку баксов.
Решение 1-
1. найти свой бумажник
2. выключить свет
3. включить фонарик
4. вытащить пинцетом сотку

Решение 2
1. взять свой бумажник и возьми любое кол-во своих денег, они же твои деньги и это твой бумажник
Перейти в начало страницы
 
+Цитировать сообщение
htbridge
сообщение 12.12.2011, 18:05
Сообщение #8


Новичок
*

Группа: Пользователи
Сообщений: 3
Регистрация: 9.12.2011
Пользователь №: 2867
Версия CMS Free: 3.4
Создано сайтов: 1



Вы не совсем правы.
Данная xss атака не требует от злоумышленника доступа в административную часть интерфейса. От атакующего достаточно заманить легитимного пользователя залогиненного в административную часть на злонамеренный сайт, содержащий код отправляющий POST запрос на уязвимый к xss сервер для выполнения html/javascript кода в браузере пользователя, в контексте уязвимого сайта.
В результате, как один из векторов атаки, злоумышленник сможет перехватить сессию, куки администратора сайта и в дальнейшем получить доступ к административной части.
Более подробно можете почитать тут:
https://www.htbridge.ch/security_glossary/xss.html
http://ru.wikipedia.org/wiki/Межсайтовый_скриптинг
http://en.wikipedia.org/wiki/Cross-site_scripting
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 13.12.2011, 10:46
Сообщение #9


Администратор
***

Группа: Главные администраторы
Сообщений: 5619
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Цитата(htbridge @ 12.12.2011, 19:05) *
Вы не совсем правы.
Данная xss атака не требует от злоумышленника доступа в административную часть интерфейса. От атакующего достаточно заманить легитимного пользователя залогиненного в административную часть на злонамеренный сайт, содержащий код отправляющий POST запрос на уязвимый к xss сервер для выполнения html/javascript кода в браузере пользователя.


Ну и как он его заманит, пример покажите. Не могу собрать в голове такой пример. Это же такой конструктор собирать нужно нужно smile.gif
Перехватить сессию для маленького сайта - это как ядерная бомбой по муравейнику. Но все равно я предпочитаю ставить пароль на папку с админкой на серьезные проекты smile.gif
Проще наверное сделать инструкцию как собрать свой троян и заслать его на почту пользователя, чтобы он скушал его и прислал все кукисы.

Если поставить проверку откуда пришел запрос, если не с родного сайта то убивать сессию это от вашей хитрой комбинации спасет?
Перейти в начало страницы
 
+Цитировать сообщение
htbridge
сообщение 13.12.2011, 18:00
Сообщение #10


Новичок
*

Группа: Пользователи
Сообщений: 3
Регистрация: 9.12.2011
Пользователь №: 2867
Версия CMS Free: 3.4
Создано сайтов: 1



Заманить пользователя на страницу можно любым образом. Например, послав ссылку по email, ICQ, соцсети или форум.
Как только администоратор откроет эту ссылку, атака будет выполнена. "конструктор" этот в принципе не такой сложный. И, как показывает наша практика, методами эксплуатации XSS владеет множество хакеров, в том числе начинающих. И успешно ими пользуется.
Насчет того, допустимы ли уязвимости в его проекте, тут каждый производитель решает сам.
Проверка referer-а не закроет все векторы нападения, эффективнее фильтрация.
Для поддержания актуальности информации об уязвимости, сообщите пожалуйста, будете ли вы исправлять эти уязвимости или нет.
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 14.12.2011, 11:01
Сообщение #11


Администратор
***

Группа: Главные администраторы
Сообщений: 5619
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Поправил уже, уязвимости к кукис решаются добавлением в файл phpshop/admpanel/enter_to_admin.php в массив плохих слов #70

Код
$com=array("union","document.cookie");


остальные проверки id и pid поправил, подключается для проверки функция
изменения вносятся в 4 файла

Код
PHPShopObj::loadClass("security");

и далее вместо проверок

Код
if(empty($_GET['pid'])) $_GET['pid']=0;


пишется

Код
if(!PHPShopSecurity::true_num($_GET['pid'])) $_GET['pid']=0;


Исправленную сборку постараюсь выпустить в понедельник.
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 20.12.2011, 14:43
Сообщение #12


Администратор
***

Группа: Главные администраторы
Сообщений: 5619
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Выпустил обновление PHPShop CMS Free 3.4.3.1 Security Pack, главным изменением стал отлов возможных уязвимостей по анализу наших друзей из High-Tech Bridge Security Research Lab.
Есть файлы в сборке, есть комулятивное обновление для 3.4.2.6 и 3.4.2.7 для автоматического обновления.
Список изменений: http://www.phpshopcms.ru/release.html
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 22.12.2011, 10:16
Сообщение #13


Администратор
***

Группа: Главные администраторы
Сообщений: 5619
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Пр эту уязвимость написали серьезные СМИ

http://news.rambler.ru/12237353/?red=false
http://www.securitylab.ru/vulnerability/412910.php

Ставим обновление новое 3.4.3.1 на всякие пожарные.
Securitylab даже не поленились и пропарсили имена функций, где есть уязвимости, хотя в официальном бюллетене только способы атак.
Если разобрались в функциях, значит поняли наше API, интересно понравился ли им код smile.gif
Перейти в начало страницы
 
+Цитировать сообщение
Worm
сообщение 22.12.2011, 10:32
Сообщение #14


Активный участник
***

Группа: Модератор
Сообщений: 2671
Регистрация: 30.12.2009
Из: Самара
Пользователь №: 213
Версия CMS Free: 34
Создано сайтов: Достаточно много



Цитата(Dennion @ 22.12.2011, 12:16) *
Пр эту уязвимость написали серьезные СМИ

http://news.rambler.ru/12237353/?red=false
http://www.securitylab.ru/vulnerability/412910.php

Ставим обновление новое 3.4.3.1 на всякие пожарные.
Securitylab даже не поленились и пропарсили имена функций, где есть уязвимости, хотя в официальном бюллетене только способы атак.
Если разобрались в функциях, значит поняли наше API, интересно понравился ли им код smile.gif


Работки подкинул ((=
Может спросить про понравился-не понравился. Пусть тут отпишут ((=
Указана что опасность "низкая". Может не стоит торопится с обновлениям?
И чтобы сделать эти зловещие запросы, нужно в API PHPShop разбираться?
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 22.12.2011, 10:39
Сообщение #15


Администратор
***

Группа: Главные администраторы
Сообщений: 5619
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Цитата(Worm @ 22.12.2011, 11:32) *
Работки подкинул ((=
Может спросить про понравился-не понравился. Пусть тут отпишут ((=
Указана что опасность "низкая". Может не стоит торопится с обновлениям?
И чтобы сделать эти зловещие запросы, нужно в API PHPShop разбираться?



Нет чтобы посмотреть нужно
1. авторизоваться в админке, выбрать опцию открыть в текущем окне
2. пройти по ссылке описания уязвимостей и вставить пример в окно админки.

Чтобы это сделал не админ, нужно чтобы после авторизации админ перешел на сайт злоумышленника в том же браузере с текущей сессией, а злоумышленник уже через скрытый фрейм перекинет его обратно в админку с вложенным запросом на выдачу его кукиса.
Это может быть, если при авторизации стоит галочка запоминать пароль, если не стоит то все намного сложнее, писать много нужно.
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 1.7.2016, 12:53

Яндекс.Метрика