Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)
-   -   Новый форумный движок (https://forum.antichat.xyz/showthread.php?t=67620)

d_x 18.04.2008 01:23
Новый форумный движок
 
Прошу потестить http://dxboard.ru - собственноручно написанный двиг форума. После прохождения тестирования я выложу его в открытый доступ, но сначала хочу удостовериться, что всё в порядке с безопасностью:)

Godfather Bulan 18.04.2008 21:39
намана) вот бы админку глянуть...

GreenBear 18.04.2008 21:43
как раз в открытом доступе быстрее баги и найдут.

.Slip 18.04.2008 21:44
Что то он на какой то из форумов сильно похож. Ты точно полностью с нуля писал его?

>> После прохождения тестирования я выложу его в открытый доступ, но сначала хочу удостовериться, что всё в порядке с безопасностью

Вот после того как выложишь сурсы, как раз так и начнётся нормальный тест на уязвимости.

GreenBear 18.04.2008 21:51
Цитата:
без использования ООП.
я ща круто выебнусь, но почему ?

d_x 18.04.2008 21:58
Вообще, двиг я этот написал примерно три года назад, тогда про ООП и не слышал толком... А с тех пор он постоянно совершенствовался, много чего добавлялось, исправлялось...
Писал его абсолютно с нуля, даже аякс свой, ничего ниоткуда не брал. А похож он может быть на какой-то форум, так как я картиночки некоторые вроде как брал из тем других движков, в дизайне я не силён:)
А двиг выложу, только пусть он хотя б пару дней так повисит:)
А dxboard.ru станет сайтом официальным, т.к. я пока не планирую забрасывать поддержку движка.

Doom123 18.04.2008 22:04
Xss при создания голосования нашёл смотри в тему тест

http://dxboard.ru/viewtopic.php?id=6

в варьянтах ответа написал <script>alert()</script>

d_x 18.04.2008 22:07
Спасибо, сейчас пофиксю...

Doom123 18.04.2008 22:19
не бага но неприятная фича.... аватар можно заливать с любой высотой и шириной благодара хекс редактору сматри тему https://forum.antichat.ru/thread20317.html

d_x 18.04.2008 22:26
Оо, не слышал о такой баге Gd, буду править, спасибо)

Дюша 18.04.2008 22:37
Doom123
поможет тока ограничение веса на файло

Doom123 18.04.2008 22:48
у него стоит 40000 байт я залил картинку 1000*1000 весом 7000 байт

d_x 18.04.2008 22:58
Пофиксил, как в теме https://forum.antichat.ru/thread20317.html указано, через загрузку изображения и проверке размера напрямую, теперь не прокатит такое:)

Doom123 18.04.2008 23:15
[img*]http://onerror=alert()[url*=http://onerror=alert()]http://onerror=alert()[/url*][/img*]

пустая мессага а может и хсс

d_x 18.04.2008 23:19
Это уже зависит от хоста, иногда встречаю такое, барахлят pcre регулярки почему-то... У меня на локалхосте нормально такое отображается например. Вроде даже тут на ачате тема про это встречалась.

Flame of Soul 19.04.2008 03:25
Cross-site Scripting Overview
 
Cross-site Scripting Overview ---> RFC-2152 UTF-7

Личные данные -> Дополнительная информация:

+ADwA-/textarea+AD4A-+ADwA-script+AD4A-alert(document.cookie)+ADsAPA-/script+AD4A-


Пример срабатывания:
<dxboard.ru>
username=test;
pass=8b9f3f128a5c4b26e93a307bb9af770;
PHPSESSID=ve59bljfsff0jcop3t51m2pp4bg9m1q1

Тестовый форум -> Оффтоп

+ADw-/title+AD4APA-script+AD4-alert(document.cookie)+ADsAPA-/script+AD4-


Пример срабатывания:

<dxboard.ru>
username=test;
pass=8b9f3f128a5c4b26e93a307bb9af770;
PHPSESSID=ve59bljfsff0jcop3t51m2pp4bg9m1q1;
tread=%3B7%3A1208553717%3B8%3A1208557570;
treadids=%3B7%3A44%3B8%3A45

Подробнее прочитать можно тут:

http://forum.antichat.ru/threadnav66154-2-10.html

PS: Существенную опасность представляет второй случай, особенно в том плане если будет выпушенна англоязычная версия форума, так что с этим лучше заранее разобратся.

----------------------------------------------------------------------

Вспомогательная информация (мож кому пригодится)

Список файлов с параметрами:
Код HTML:
/findmessages.php?id=1&page=1&sort=1    /logs.php?dat=1
/users.php?page=1&order=1&pr=1&srch=    /check.php?act=3
/findmessages.php?id=1&page=1          /addrate.php?id=1
/adminsmiles.php?dat=5&id=              /addrate.php?id=1
/viewtopic.php?id=3&last=1              /users.php?srch=1
/adminforums.php?dat=5&id=              /writepm.php?id=1
/admintopic.php?&opt=3&id=              /profile.php?id=1
/deleteallmes.php?folder=              /deleteimg.php?id=
/viewpercents.php?n=1&id=              /viewforum.php?id=1
/delcontact.php?act=1&id=              /viewgroup.php?id=1
/bookedit.php?act=1&id=3                /logs.php?dat=2&id=
/viewtopic.php?id=1&fp=1                /fullanswer.php?id=
/addrate.php?id=1&plus=1                /viewtopic.php?id=3
/profile.php?id=1&view=1                /deletefile.php?id=
/subedit.php?act=4&id=3                /deletetopic.php?id=
/viewtopic.php?id=3&l=1            !!!  /ipblock.php?dat=3&id=
/deletemessage.php?id=                  /mesopts.php?act=1&id=
/deletepercent.php?id=                  /viewpercents.php?id=1
/findmessages.php?id=1                  /deleteprofile.php?id=
ipblock.php - чесно говоря смущает

d_x 19.04.2008 03:25
Doom123, я смотрю смотрю и фиксю, уже довольно много косяков поправил, но есть ещё немного:)

Doom123 19.04.2008 03:50
у меня лично идей где найти багу просто нет=\ так что выклыдывай исходники будем химичить))


кстате смена пароля не работает... постоянно пишет что не верен старый пароль=\

d_x 19.04.2008 03:52
Думаю, что завтра вечером выложу. Исходники правда страшные очень,без комментариев совсем)

PS. Баг с паролем пофиксил

d_x 19.04.2008 20:25
Исходники выложил в открытый доступ: https://forum.antichat.ru/thread67760.html
Ну а тестирование продолжается:)

blackybr 20.04.2008 01:32
у тебя там на серве register_globals off ?

comeoff 20.04.2008 02:02
Заходим на несуществующую тему ht*tp://dxboard.ru/viewtopic.php?id=6 и редирект на главную не срабатывает. даже если самостоятельно нажать на ссыль "Если не хотите ждать,нажмите сюда" :)

d_x 20.04.2008 02:43
Цитата:
у тебя там на серве register_globals off ?
Да

Цитата:
Заходим на несуществующую тему ht*tp://dxboard.ru/viewtopic.php?id=6 и редирект на главную не срабатывает. даже если самостоятельно нажать на ссыль "Если не хотите ждать,нажмите сюда"
Редиректы сейчас так работают: если хистори не пустая, то вернуться на страницу назад, если пустая, то на главную.

comeoff 20.04.2008 12:29
Перешёл отсюдава на ht*tp://dxboard.ru/viewtopic.php?id=6, через секунду редирект...сюда, на Ачат)) Я в принципе не знаю, как сейчас редиректы работают, по истории или как, но по моему лучше принудительно сделать редирект на главную страницу, т.к. вот в моём случае, меня перекинуло совершенно на другой форум, а это потеря юзера, если он к примеру перешёл с поисковика или ещё откуда на несущ. стр.

blackybr 20.04.2008 19:25
с огромным трудом поставил на локалхост ( по крупицам собирал структуру бд :D )

вообщем при register_globals on есть несколько аналогичных скулей и ксс

d_x 20.04.2008 20:25
Цитата:
с огромным трудом поставил на локалхост ( по крупицам собирал структуру бд )

вообщем при register_globals on есть несколько аналогичных скулей и ксс
Почему с огромным трудом - непонятно, инсталлятор всё делает за несколько секунд. А про скули и xss поподробнее, если можно.

Doom123 20.04.2008 20:27
Цитата:
Почему с огромным трудом - непонятно, инсталлятор всё делает за несколько секунд
Видно при register_globals on там проблемы .. может у тебя переменые с теми же именами как имена запросов? POST/GET

d_x 20.04.2008 20:29
Цитата:
может у тебя переменые с теми же именами как имена запросов? Post/get
Есть такое, но они все переобъявляются, если только где чего не пропустил.

Да и на локалхосте я с register_globals = on тестил, всё нормально было.

Nelzone 26.04.2008 22:47
Форум временно недоступен, патчим дырки:) гыг


Время: 03:03