Nebezpečné obrázky I ½.

Když jsem před čtyřmi dny napsal článek o brutální bezpečností chybě v diskusním fóru miniBB, která dovoluje komukoliv smazat celé diskusní fórum, nečekal jsem, jak to dopadne. Dopadlo to totiž tragicky. Ale pěkně popořádku:

11. května jsem napsal článek o této chybě a požádal některého z čtenářů blogu, zda by neposlal bug report jeho autorům. Stalo se tak o den později, kdy Charlie napsal (odkaz již nefunguje, moderátor si ho smazal, když se snažil dokázat, že to přece nemůže fungovat :-)) na diskusní fórum miniBB zprávu o tomto bugu. Na fóru se objevily jen dvě naprosto bezcenné rady, jako vypnout podporu obrázků nebo vložit slovo deltopic do zakázaných. Dnes ovšem zareagovali vývojáři a chybu „opravili“ vydáním verze 2.0.4a, a to tak, že zakázali používat znak & v adresách obrázků. Jenže tato oprava vůbec nic neřeší! Stačí totiž někde na svůj server vytvořit například PHP soubor s příponou .JPG a zařídit, aby se zpracoval PHP parserem (nastavením MIME typu nebo pomocí mod_rewrite). Do obsahu tohoto souboru pak stačí vložit 

header('Location: http://example.cz/index.php?action=deltopic&forum=2&topic={ID_prispevku}');

a vše funguje stejně, jako před údajnou opravou tohoto problému.

Nevím, jestli se mám smát nebo brečet, každopádně to jen potvrzuje, že je to jedno z nejhorších diskusních fór. Všem uživatelům tohoto fóra doporučuji zazálohovat databázi a zvážit přechod na nějaké jiné diskusní fórum, například na o mnoho kvalitnější PunBB.

Komentáře

1

Vývojáři si neuvědomili, že mají co do činění s obrovským problémem. Jestli každý bug řeší použe přidáním jednoho znaku náhodně do kódu, tak teda nevím nevím :)

Acci, pravděpodobně sis to uvědomil, ale… Představ si, takový PHP skript na tvém serveru umí rozluštit referer a vybrat z něj ID topicu – toho by se dalo skvěle využít, jedním „obrázkem“ bys tak mohl smazat libovolné fórum bez nutnosti zásahu do kódu. To je ale pokušení :)

Charlie · 15. 5. 2007 · 21.46 · reagovat
2

[1] Charlie: To je super nápad, kdy to provedem? Muselo by to být ale rychle, než to někdo smaže za nás :-D

Acci · 15. 5. 2007 · 22.16 · reagovat
3

To jsou teda deletanti…

V dalsi verzi patrne zakazou moderatorum cist topic, ktery maji pravo smazat… /-:

zirafka · 15. 5. 2007 · 22.56 · reagovat
4

pokud zakazali jen znak &, proc menit php soubor na jpg?

error414 · 16. 5. 2007 · 19.39 · reagovat
5

[4] error414: Protože na obrázek se převede pouze soubor s příponou JPG, PNG nebo GIF.

Acci · 16. 5. 2007 · 19.53 · reagovat
6

[5] Acci: A když budu odkazovat na xy.php?oblbnem=.jpg tak přece mod_rewrite nepotřebuju ne? Když otazníček zakázaný nebyl…

Gringo · 17. 5. 2007 · 23.29 · reagovat
7

[6] Gringo: Ano, máš samozřejmě pravdu. Jenže pokud bys toto napsal vývojářům, vsadil bych se, že by prostě zakázali otazník v adrese obrázku.

Acci · 18. 5. 2007 · 5.59 · reagovat
8

Acci, už jsem v životě několikrát upozornil na vážné bezpečnostní problémy u některých Open Source projektů a ve fórech jsem to většinou schytal s tím, že jsem vůl, vždyť ten báječný program používají tisíce spokojených uživatelů a tak obrovská komunita je přece zárukou, že je to supr dupr, že to funguje a vůbec! :-)

dgx · 20. 5. 2007 · 4.01 · reagovat
9

Pánové a dámy, inspirován Accim, vytvořil jsem jednoduchý hackovací nástroj na mazání miniBB topiců. Funguje absolutně jednoduše, stačí zadat pouze téměř libovolnou URL do BB tagu [img] a pak už jen počkat, až stránku navštíví moderátor. Skript mu ukradne identitu a smaže vybraný topic.

http://hackmi­nibb.php5.cz

Charlie · 20. 5. 2007 · 9.57 · reagovat
10

myslim ze vytvaret takoveto scripty a jeste je davat volne k pouziti i snavodem neni zrovna dobry napad.

error414 · 20. 5. 2007 · 22.14 · reagovat
11

[10] error414: Já si to také nemyslím, ale bylo třeba udělat menší demonstraci.

Charlie · 20. 5. 2007 · 23.02 · reagovat
12

Uz je to vyreseno v nove verzi:

http://www.mi­nibb.net/forum­s/9_4661_0.html

S474N · 26. 5. 2007 · 19.46 · reagovat

Zanechte komentář

(vyžadováno)
(nebude zobrazen) (vyžadováno)

Můžete použít Texy! formátování.
« Nebezpečné obrázky I.
Vícenásobný INSERT v MySQL »