Проерка на уязвимости beta.eleanor-cms.ru
 

Будьте добры проверьте beta.eleanor-cms.ru,
Кнопку выставил в футере.

SQL inj

В поле ввода логина вводим ( ' )

Активная XSS
Идем в профиль ( /account/do_options.html ), в поле, например, MSN пишем "><script>alert()</script><"
Затем идем в Файлы и оставляем коментарий.
Пример: http://beta.eleanor-cms.ru/files/тестовая-категория-файлов/тестовый-файл.html

PS: с функцией SaveBb из класса Bbcodes были бы вы по осторожнее, там до выполнения произвольного кода 1 шаг ...

SQL-injection:
http://beta.eleanor-cms.ru/admin.php - админка. Символ ' в поле Логин и вылетает ошибка.
Полный путь: <вырезано>

Если вылетает ошибка - это еще не значит, что присутствует SQL-inj.

Спасибо, передам непосредственно разработчику. Кстати тут можете скачать сам дистрибутив системы, система пока только на стадии тестирования, и будем вам премного благодарны если найдёте ещё баги.

Все заявленые ошибки пофиксены. Сайт будет обновлен вместе с дистрибом системы в течении 3х часов.

Багов я так понимаю больше нету?
Систему в принципе можно считать достаточно безопасной?

Имхо, баги еще остались, у меня пока нет времени полностью код движка просмотреть ..

Если дыры ещё остались то ткните пальцем пожалуйста)) Просто я их в упор не вижу.

Финальная версия уже не загорами и не хотелось бы чтобы страшные дыры были в финальной версии, лучше всё исправить ещё на стадии RC.

Дыры ищите не только на бете, а в самом движке, ссылку на скачку я выше давал.

Система была обновлена.
На этот раз есть возможность гостям грузить любые файлы, это возможно будет интересным местом для поиска уязвимостей.

Дерзайте.
http://beta.eleanor-cms.ru/files/do_add.html

бугага
вы перед тем как вам аватар заливаю проверяйте картинка ли это вообще

BlackSun: без подробностей - это оффтоп.

Зачем в CMS встраивать цитатник ?

По теме - http://beta.eleanor-cms.ru/files/do_add.html - что-то файлы не загружаются. Страничка с 11111 появляется и всё

Вы бы по подробней...

И вам по подробней, скрин желательно, ибо у себя всё нормально.

Я смотрю шелл уже залили) Ну чтож, посмотрим удастся ли вам им воспользоваться :)
Пожалуйста сообщите о результатах.

можно в виде аватара залить даже php файл
перехватив post запрос, gjcnfdbd там image/gpeg
но запустить не удаеться тк аватары уже движком переделываються в jpg
локальный инклуд решил бы проблему

скачаю исходники посмотрим что моно сделать

Можно название PHP файла залитого в JPG?

uploads/uploaded_avatars/av-233.jpg

Вы сначала переименовали файл а потом загрузили?

Вообщем в любом случае Fixed.

мельком просмотрел двиг
есть несколько xss, правда условие register_globals = on, на сервере где стоит демка видимо off, поэтому не работает

install/template/index.php
переменные $title, $head_addon, $head, $text, $copyright


install/template/Message.php
переменная $title

также куча xss в файлах в папке /templates/, но там решает .htaccess, хотя на него пологаться не стоит, если веб-сервер будет не апач, все баги вылезут

Первое учтём, а второе смешно.
Система изначально сделана для того чтобы работать с апачем, всем веб-серверам не угодишь.

Кстати, я вот сейчас что-то не могу понять. Какая там XSS? Ну заменит он заголовок в браузере.. Что это изменит-то?

если я тебе отправлю такую ссылку
www.site.com/install/template/index.php?title=</title><script>alert(document.cookie)</script>
как думаешь что произойдёт?)

ну это пока смешно... И что тебе мешает вставить в эти скрипты такую же проверку как и в других? А вообще не убирай багов, нам же лучше =)

смеятся скорее следует над этим
https://forum.antichat.ru/showpost.php?p=1212211&postcount=16
интересно как вы это пофиксили?) Стали проверять каждый файл на наличие в нём php функций? Даже еслии залить картинку с шелом внутри толку то от этого не будет пока не найден LFI

Если я идиот, то перейду по ней. Если нет - у тебя ничего не получиться. Идиотов защитить невозможно.. Парадоксально, но факт.

А че тут защищать-то? Все изображения передаем с Content-type: image/jpeg . Если браузер писали не идиоты - все скрипты внутри него не выполняться. Локальный инклуд файла не поможет т.к. jpeg файлы (как и другие картинки) сервер не обрабатывает, а просто передает (если админ не идиот конечно же).

Нет. Можно и без геморроя: всего лишь определять является ли файл картинкой или нет.

:confused: :confused: :confused:

google: url encode, почитай на досуге, для неидиотов =)
вооще заставить тебя так или иначе открыть эту ссыль существует миллион способов.

нуну. Серьёзно так думаешь? почитай мануал php по include и require функциям


Вообще ты меня поражаешь, честно. зачем я качал твой двиг, жил бы ты дальше в розовых очках. и вам и нам лучше, а то теперь ты узнаешь про то что любой файл при инклуде обрабатывается как php код
неблагодарные =(

Гипноз, иглы под ногти и т.п. Даже если и представить на секунду, что я перешел по твоей ссылке.. Что это тебе даст? Куки авторизации похитить? - Идея, достойная, безусловно. Но все куки авторизации ставятся с параметром httponly (есть, конечно способы обхода, но это проблемы браузеров). Кроме httponly есть еще специальная StrongHold кука, которая обеспечивает дополнительную защиту. Если шанс взлома и есть, то он весьма и весьма косвенен, с кучей условий и оговорок. Самая главная из которых это так, что пользователя обязан забыть удалить папку install - что он не забывает в 99% случаев. И о чем мы спорим?

Скажи пожалуйста, с чего ты взял, что у меня в системе найдется строка типа include 'uploads/images/hack.jpg'.
Силой мысли ее туда напишешь? :D

По поводу UTF-8

Русский текст в utf-8 занимает ровно в два раза больше информации, чем идентичный только в 1251. Я не вижу никакого смысла использования utf-8 на русских сайтах. Готов спорить. Аргументы вроде:

-Возможно вставлять китайские иероглифы.
-Возможно фирма в будущем захочет выйти на мировой рынок.
-Возможно в русском языке появятся символы, которых нет в 1251

Не принимаю.

если ты не считаешь xss багой - твоё право. Пост №3 тогда тоже неочём, но ты решил что надо исправить
вообще xss на куках не заканчивается

по поводу инклудов. я тебе объяснил лишь ситуацию с картинками. к чему ты споришь вообще непонятно

Вобщем удачи тебе в продвижении своего продукта. на мои посты внимания не обращай =)

XSS XSSу рознь. Так, если бы удалось встроить скрипт через BB редактор - это уязвимость спору нет. Но мнимая XSS, представленная тобой я не считаю уязвимость. Почему? - Продемонстрировать на практике тебе эту XSS не удалось. Тем более прямой доступ к файлам тем запрещен через .htaccess (уже).

Ситуация с картинками если не исправлена, то слегда доработана. Считай неправильное слово употребил.

Спасибо, за разговор. Но твои посты я игнорировать не буду, если найду в них полезные и питательные свойства.

мне не понятно ваше отношение, к постам нужно прислушиваться, а не отмахиваться от них. тут вообще никто вам ничем не обязан, даже больше люди оказывают вам услугу, и пренебрежительный тон просто удивляет.

Покажите хоть одну реальную уязвимость которой мы пренебрегли. Остальное - просто обсуждения.

XSS она везде XSS.
Через JS можно сделать редирект. И вместо твоего белого и пушистого сайта юзер улетит на порник. Если тем более линк на XSS в комментариях разместить ("типа пали, че тут админ пишет" итп). Юзерам до фени, что в ссылке. Главное, что домен такой же - значит можно заходить.

Если есть XSS - она, как ни крути, является дыркой.