Autore Topic: dead  (Letto 13599 volte)

Offline legacy

  • ASM Lover
  • *****
  • Post: 353
  • Karma: +14/-2
    • Mostra profilo
dead
« il: 11 Aprile 2017, 17:03:46 »
dead
« Ultima modifica: 16 Gennaio 2020, 00:52:35 da legacy »

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #1 il: 09 Gennaio 2018, 23:39:08 »
Questo thread me l'ero proprio perso, ops :-X

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #2 il: 14 Gennaio 2018, 23:18:32 »
Quello è codice per node.js, ovvero un environment Javascript che tipicamente viene usato per fare backend di webapp; di sicuro non lo fai girare nel browser. :D

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #3 il: 16 Gennaio 2018, 14:14:36 »
ma a che ti serve una roba del genere? iniettare JS in pagina è una pessima idea

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #4 il: 16 Gennaio 2018, 14:18:26 »
ah, quel pusher.php che hai scritto è pericolosissimo, potenzialmente ti potrei brasare la macchina con i giusti parametri in get

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #5 il: 16 Gennaio 2018, 14:23:09 »
$myfile = fopen("script/$post_id.html", "w")

cosa accade se chiamo il file pusher.php in questo modo? pusher.php?post_id=../../config.php>
Riesco a leggere/scrivere file a caso, compresi i config di accesso al DB? Probabilmente si

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #6 il: 16 Gennaio 2018, 22:33:21 »
si, me ne sono accorto: RaionFox o chi per lui, deve averlo scoperto e sicuramente
l'ha utilizzato per devastare il codice del sito, oltre che per devastare il database

Visto che non ci sono prove, evitiamo di dare la colpa a persone precise; per quel che ne sappiamo, potrebbero essere stati dei bot cinesi che scansionavano internet alla ricerca di vulnerabilità di apache/phpbb/ftp/mysql etc.

pero' non mi e' chiaro come facesse a sapere del codice per poter utilizzare pusher.php
ovvero di [ magicsmoke ], visto che non l'ho mai scritto da nessuna parte ne nel sito
ne altrove (nemmeno qui)  :o :o :o

questa cosa non so spiegarla

Sapere (come l'hanno scoperto) è solo relativamente utile: un punto cardine della sicurezza è sempre assumere che il tuo avversario ha accesso a tutto il codice sorgente corrente della tua applicazione; se anche avendo questa conoscenza è impossibile (o incredibilmente difficile) trovare o sfruttare una vulnerabilità, allora il codice è sicuro.

Codice: [Seleziona]
[js]get_hostname[/js]
[button=click to see your ip/hostname]get_hostname[/button] [id]hostname[/id]

lo script e' contenuto in
chunks_of/javascript/get_hostname.js

[ js ] pesca solo da chunks_of/javascript/
dove tutto ha permessi di sola lettura!

Non ho ben capito cosa sarebbe quel BB code; è qualcosa che un utente può scrivere in un post, e il forum engine ingloba nella pagina lo script JS (che hai scritto tu e memorizzato sul server)?
In tal caso, il fatto che sul server i file JS abbiano permessi di sola lettura non serve a nulla: quel codice non girerà mai nel server.
In qualsiasi caso non sono per niente d'accordo con lasciare la possibilità agli utenti anche solo di richiamare funzioni, che a quanto pare può essere in un ordine arbitrario; non sai mai quale strano ordine di operazioni può causarti una vulnerabilità, e per ogni funzione JS che aggiungi, dovresti testare ogni possibile combinazione e sequenza di chiamate per garantire che nessuna combinazione può causarti danni; puoi immaginare che grande esponente abbia il numero di combinazioni! :o

Se vuoi aggiungere delle funzionalità è meglio che crei dei tag BB apposta (ad esempio [ hostname ]), e li espandi nel codice PHP al valore corretto (ne più ne meno di come funziona per il tag Grassetto o Corsivo), possibilmente una volta sola durante il salvataggio del post, avendo ESTREMA cura di validare tutti i valori di input (per evitare cose come il fopen discusso prima); il forum sarà certamente molto meno "dinamico" (niente bottone da premere per mostrare l'hostname), però sarà certamente più sicuro. :D

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #7 il: 16 Gennaio 2018, 23:36:20 »
Questi tag qui sopra, combinati assieme, consentono di scrivere una tabella elementare

Alla fine è come in HTML liscio, e a mio avviso non ci sono metodi più "puliti" per fare una tabella...

pero' c'e' un problema: ogni ritorno a capo PESA nella resa finale come una linea in piu'!

Intendi che vengono renderizzati nella pagina e ti sballano la tabella? Probabilmente il CSS predefinito ha un valore per white-space particolare; questa pagina ha un riassunto dei valori e del comportamento:

https://css-tricks.com/almanac/properties/w/whitespace/

Forse il forum usa un pre o un pre-wrap. Prova a dare un'occhiata e giocare un po' col valore. Altrimenti il problema potrebbe essere questo:

https://css-tricks.com/fighting-the-space-between-inline-block-elements/

Quello che è certo è che in HTML+CSS le tabelle sono sempre un casino. :D

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #8 il: 17 Gennaio 2018, 02:58:18 »
Smanazzare con codice lato server, specialmente se non si è esperti, non è una cosa saggia :D
https://www.cvedetails.com/vulnerability-list/vendor_id-1529/product_id-2635/Phpbb-Phpbb.html

questi sono i bug "noti" di phpBB, e per ogni CMS ci sono liste più o meno lunghe, più tutti i bug noti solo alla darknet e che girano a pagamento tra quelli che campano bucando software (e ce ne sono parecchi, è la nuova mafia digitale).

Ogni volta che introduci una funzione nuova, introduci potenzialmente qualche possibile vettore d'attacco che ne io ne tu riusciamo magari a vedere, ma c'è, ed è lì nascosto che sogghigna alle tue spalle. Se poi introduci la possibilità di chiamare nomi di funzioni, aprire file, e altra roba simile, apriti cielo! Disastro totale! Ciò che ti arriva dallo user e ciò che realmente avviene sul server deve essere filtrato, sanitizzato, incapsulato, astratto 3 volte e sottoposto a estenuante parameter checking, unit test, regression test e integration test. E così facendo avrai ancora un sacco di buchi, ma meno di prima :D

 

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #9 il: 17 Gennaio 2018, 03:05:05 »
https://security.gentoo.org/glsa/201701-25

Quelli di Gentoo dicono così:
Citazione
Background
phpBB is an Open Source bulletin board package.

Description
Multiple vulnerabilities have been discovered in phpBB. Please review the CVE identifiers referenced below for details.

Impact
A remote attacker may be able to change settings, inject arbitrary web script or HTML, or conduct cross-site request forgery (CSRF) attacks.

Workaround
There is no known workaround at this time.

Resolution
Gentoo Security support has been discontinued due to phpBB being dropped to unstable. As such, we recommend that users unmerge phpBB:

 # emerge --unmerge "www-apps/phpBB"
 

Praticamente ti dicono "butta nel cesso quella merda", più chiaro di così!

Offline saimon69

  • Guru
  • *****
  • Post: 1833
  • Karma: +23/-3
  • Web Dev e musicista da camera (da letto)
    • Mostra profilo
    • binarydoodles Blog
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #10 il: 17 Gennaio 2018, 20:18:23 »
Praticamente ti dicono "butta nel cesso quella merda", più chiaro di così!

Che alternative a phpBB ci sono in giro (non mi dite vBulletin che e' un altro formaggio svizzero di buchi e ci ho dovuto lavorar sopra in passato per skinning - convoluto complicato e pure a pagamento :6 )
AROS : mica bau bau micio micio =^x^=

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #11 il: 17 Gennaio 2018, 21:48:48 »
Che alternative a phpBB ci sono in giro (non mi dite vBulletin che e' un altro formaggio svizzero di buchi e ci ho dovuto lavorar sopra in passato per skinning - convoluto complicato e pure a pagamento :6 )

Se vuoi rimanere su PHP, devo dire che Simple Machine Forum (che usiamo proprio su questo forum qui) non è malissimo (dal punto di vista delle funzionalità; di sicurezza non so ma per pregiudizio di sistemi fatti in PHP non mi fido :D).

se avessi piu' tempo potrei provare a scrivere con node.js un oggetto "sito"; tutti (tra cui Amazon, FacciaLibro, GitHub ed altri big) usano node.js per fare diverse cose; oggi va di moda cosi'  :o :o :o

Che vada di moda non vuol dire che sia buono. :D Javascript nel backend è solo leggermente meglio di PHP sulla scala del Caccometro.

se dovessimo estendere il concetto ... Madame a cena prima ha detto "mi sa che il solo sito sicuro e' quello con la paginetta statica HTML scritta a mano, e tenuta su una una macchina che non ha alcun altro servizio abilitato":o :o :o :o

Il sito sicuro non esiste. :D

Menzione speciale per: http://motherfuckingwebsite.com/

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #12 il: 17 Gennaio 2018, 21:59:53 »
boh, io ormai ho maturato una sorta di repulsione per i siti stile BB. Credo ci sia anche roba fatta bene, ma andrei a cercare onestamente in ambito Java e Python. Se vuoi fare un sito tu da zero, puoi giocare la carta della security by obscurity. Nel senso che il software è sconosciuto e quindi nessuno sa quali buchi ci sono (ma comunque ci sono :D ). Se vuoi una base di partenza seria scarta direttamente tutte le robe di moda e prendi un framework solido, testato, old school, con una buona storia dietro, come Spring, Django, Flask. Node.js è carino come concetto, ma usa quella merda di javascript.

Punta su linguaggi più sani, come C#, Java o Python.

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #13 il: 19 Gennaio 2018, 00:04:07 »
Java 1 e Java 8 sono due linguaggi talmente diversi che fai prima a cominciare da capo :D

Se parti da zero in entrambi i casi, vai di Python. Curva d'apprendimento più leggera, linguaggio docile e mansueto, utile non solo per fare software grossi ma puoi riciclarlo anche per fare script di sistema, per gestire build, codice, dati, log, ecc...
Insomma è comodo in generale, se lo impari poi inizierai ad usarlo tutti i giorni per farci qualsiasi cosa, anche number crunching volendo.

Offline TheKaneB

  • Human Debugger
  • *****
  • Post: 5292
  • Karma: +20/-23
    • Mostra profilo
    • http://www.antoniobarba.org
Re:vorrei un BBCode capace di eseguire script JS
« Risposta #14 il: 19 Gennaio 2018, 00:07:42 »
Java è uno dei linguaggi più potenti e diffusi al mondo, ma impararlo da zero per farci un sito è come farsi prendere a calci nelle palle da The Rock.
Se sviluppare i software di banca Intesa non è il sogno della tua vita, ti direi di lasciarlo dove si trova :D

Tags: