SOFTWARE > Linguaggi di programmazione e scripting
dead
TheKaneB:
$myfile = fopen("script/$post_id.html", "w")
cosa accade se chiamo il file pusher.php in questo modo? pusher.php?post_id=../../config.php>
Riesco a leggere/scrivere file a caso, compresi i config di accesso al DB? Probabilmente si
Z80Fan:
--- Citazione da: legacy - 16 Gennaio 2018, 18:53:11 ---si, me ne sono accorto: RaionFox o chi per lui, deve averlo scoperto e sicuramente
l'ha utilizzato per devastare il codice del sito, oltre che per devastare il database
--- Termina citazione ---
Visto che non ci sono prove, evitiamo di dare la colpa a persone precise; per quel che ne sappiamo, potrebbero essere stati dei bot cinesi che scansionavano internet alla ricerca di vulnerabilità di apache/phpbb/ftp/mysql etc.
--- Citazione da: legacy - 16 Gennaio 2018, 18:55:13 ---pero' non mi e' chiaro come facesse a sapere del codice per poter utilizzare pusher.php
ovvero di [ magicsmoke ], visto che non l'ho mai scritto da nessuna parte ne nel sito
ne altrove (nemmeno qui) :o :o :o
questa cosa non so spiegarla
--- Termina citazione ---
Sapere (come l'hanno scoperto) è solo relativamente utile: un punto cardine della sicurezza è sempre assumere che il tuo avversario ha accesso a tutto il codice sorgente corrente della tua applicazione; se anche avendo questa conoscenza è impossibile (o incredibilmente difficile) trovare o sfruttare una vulnerabilità, allora il codice è sicuro.
--- Citazione da: legacy - 16 Gennaio 2018, 19:03:13 ---
--- Codice: ---[js]get_hostname[/js]
[button=click to see your ip/hostname]get_hostname[/button] [id]hostname[/id]
--- Termina codice ---
lo script e' contenuto in
chunks_of/javascript/get_hostname.js
[ js ] pesca solo da chunks_of/javascript/
dove tutto ha permessi di sola lettura!
--- Termina citazione ---
Non ho ben capito cosa sarebbe quel BB code; è qualcosa che un utente può scrivere in un post, e il forum engine ingloba nella pagina lo script JS (che hai scritto tu e memorizzato sul server)?
In tal caso, il fatto che sul server i file JS abbiano permessi di sola lettura non serve a nulla: quel codice non girerà mai nel server.
In qualsiasi caso non sono per niente d'accordo con lasciare la possibilità agli utenti anche solo di richiamare funzioni, che a quanto pare può essere in un ordine arbitrario; non sai mai quale strano ordine di operazioni può causarti una vulnerabilità, e per ogni funzione JS che aggiungi, dovresti testare ogni possibile combinazione e sequenza di chiamate per garantire che nessuna combinazione può causarti danni; puoi immaginare che grande esponente abbia il numero di combinazioni! :o
Se vuoi aggiungere delle funzionalità è meglio che crei dei tag BB apposta (ad esempio [ hostname ]), e li espandi nel codice PHP al valore corretto (ne più ne meno di come funziona per il tag Grassetto o Corsivo), possibilmente una volta sola durante il salvataggio del post, avendo ESTREMA cura di validare tutti i valori di input (per evitare cose come il fopen discusso prima); il forum sarà certamente molto meno "dinamico" (niente bottone da premere per mostrare l'hostname), però sarà certamente più sicuro. :D
Z80Fan:
--- Citazione da: legacy - 16 Gennaio 2018, 23:10:50 ---Questi tag qui sopra, combinati assieme, consentono di scrivere una tabella elementare
--- Termina citazione ---
Alla fine è come in HTML liscio, e a mio avviso non ci sono metodi più "puliti" per fare una tabella...
--- Citazione da: legacy - 16 Gennaio 2018, 23:10:50 ---pero' c'e' un problema: ogni ritorno a capo PESA nella resa finale come una linea in piu'!
--- Termina citazione ---
Intendi che vengono renderizzati nella pagina e ti sballano la tabella? Probabilmente il CSS predefinito ha un valore per white-space particolare; questa pagina ha un riassunto dei valori e del comportamento:
https://css-tricks.com/almanac/properties/w/whitespace/
Forse il forum usa un pre o un pre-wrap. Prova a dare un'occhiata e giocare un po' col valore. Altrimenti il problema potrebbe essere questo:
https://css-tricks.com/fighting-the-space-between-inline-block-elements/
Quello che è certo è che in HTML+CSS le tabelle sono sempre un casino. :D
TheKaneB:
Smanazzare con codice lato server, specialmente se non si è esperti, non è una cosa saggia :D
https://www.cvedetails.com/vulnerability-list/vendor_id-1529/product_id-2635/Phpbb-Phpbb.html
questi sono i bug "noti" di phpBB, e per ogni CMS ci sono liste più o meno lunghe, più tutti i bug noti solo alla darknet e che girano a pagamento tra quelli che campano bucando software (e ce ne sono parecchi, è la nuova mafia digitale).
Ogni volta che introduci una funzione nuova, introduci potenzialmente qualche possibile vettore d'attacco che ne io ne tu riusciamo magari a vedere, ma c'è, ed è lì nascosto che sogghigna alle tue spalle. Se poi introduci la possibilità di chiamare nomi di funzioni, aprire file, e altra roba simile, apriti cielo! Disastro totale! Ciò che ti arriva dallo user e ciò che realmente avviene sul server deve essere filtrato, sanitizzato, incapsulato, astratto 3 volte e sottoposto a estenuante parameter checking, unit test, regression test e integration test. E così facendo avrai ancora un sacco di buchi, ma meno di prima :D
TheKaneB:
https://security.gentoo.org/glsa/201701-25
Quelli di Gentoo dicono così:
--- Citazione ---Background
phpBB is an Open Source bulletin board package.
Description
Multiple vulnerabilities have been discovered in phpBB. Please review the CVE identifiers referenced below for details.
Impact
A remote attacker may be able to change settings, inject arbitrary web script or HTML, or conduct cross-site request forgery (CSRF) attacks.
Workaround
There is no known workaround at this time.
Resolution
Gentoo Security support has been discontinued due to phpBB being dropped to unstable. As such, we recommend that users unmerge phpBB:
# emerge --unmerge "www-apps/phpBB"
--- Termina citazione ---
Praticamente ti dicono "butta nel cesso quella merda", più chiaro di così!
Navigazione
[0] Indice dei post
Vai alla versione completa