SecuRRity.Ru » Статьи » Межсайтовый скриптинг (XSS) в DataLife Engine
Межсайтовый скриптинг (XSS) в DataLife Engine
автор: Administrator | 4 марта 2009, 02:41 | Просмотров: 10327теги: САЙТ, ОПАСНОСТЬ, xss, МЕЖСАЙТОВЫЙ, СКРИПТИНГ, уязвимый
Мы все думали, что DataLife Engine является идеальной системой, не имеет никаких уязвимостей, а администраторы могут использовать с большим удовольствием все функции этой системы, убеждены, что эта CMS является непобедимой.
Я тоже так думал, что DLE вообще неуязвимая. Но несколько дней назад, во время проверки уязвимостей в моем модуле, я был очень неприятно удивлен тем, что нашел, а нашел я - XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость.
Не проверял все версии, но по мою мнению эту уязвимость можно найти во всех версиях DataLife.
К счастью, не смотря на то, что это активная XSS, куки не могут быть украдены так легко, как кажется. Ведь в движке используется несколько особенные функций, которые защищают куки, чтобы не были украдены. НО, я сказал что "куки не могут быть украдены так легко", а это не значит, что получить их невозможно.
Получит хакер куки или нет, зависит только до какого предела он готов пойти, насколько внимательны администраторы и на каком сервере находится сайт.
Наиболее подвержены опасности уязвимости и вероятность сталкиваться с серьезными проблемами, являются сайты, где новости публикуются на сайте без модерации, а также где администраты и/или модераторы не очень внимательны.
Так как с помощью этого кода, можно вставить на сайте невидимый IFRAME, высока вероятность того, что те, кто имеют право публиковать (без модерации) и/или редактировать новости на сайте, захотят воспользоваться этой возможностью для того, чтобы зарабатывать легкие деньги, продавая IFRAME трафик.
Также можно перенаправлять посетителей на другой сайт(фейк), и если они не будут внимательны, очень большая вероятность того что хакер получит их пароли.
Но гораздо хуже то, что злоумышленник может использовать XSS чтобы заразить пользователей, которые посещают уязвимую страничку.
Он может указать URL страницы/файла на которой может находиться опасный код, и при загрузке страницы уязвимого сайта, вредоносный файл будет загружаться с другого сервера.
Я считаю, что это критическая уязвимость, потому что хакер, используя эту уязвимость, может принести большой ущерб администратору сайта.
Конечно, подробнее об уязвимость не буду писать так как, думаю, начнется большой хаос, если все узнают что это за код…
А для того чтобы устранить эту уязвимость, самый легкий способ, это:
в \engine\classes\, открыть parse.class.php, найти:
и заменить на
Конечно, для тех кто используют флэш ролики, это не самый хороший метод, так как в новостях, больше не будет возможно помещать флэш видео -- но это уже вам решать.
Другой способ еще не нашел и к сожалению, на данный момент единственное чем могу помочь, это рекомендовать вам чтобы вы были внимательнее и более тщательно изучили исходный код вашего сайта. А может быть, администрация dle-news.ru уже готовит патч...
Я тоже так думал, что DLE вообще неуязвимая. Но несколько дней назад, во время проверки уязвимостей в моем модуле, я был очень неприятно удивлен тем, что нашел, а нашел я - XSS уязвимость, с помощью которого можно поместить специальный HTML код в Заголовок, в краткую или полную новость.
Не проверял все версии, но по мою мнению эту уязвимость можно найти во всех версиях DataLife.
К счастью, не смотря на то, что это активная XSS, куки не могут быть украдены так легко, как кажется. Ведь в движке используется несколько особенные функций, которые защищают куки, чтобы не были украдены. НО, я сказал что "куки не могут быть украдены так легко", а это не значит, что получить их невозможно.
Получит хакер куки или нет, зависит только до какого предела он готов пойти, насколько внимательны администраторы и на каком сервере находится сайт.
Наиболее подвержены опасности уязвимости и вероятность сталкиваться с серьезными проблемами, являются сайты, где новости публикуются на сайте без модерации, а также где администраты и/или модераторы не очень внимательны.
Так как с помощью этого кода, можно вставить на сайте невидимый IFRAME, высока вероятность того, что те, кто имеют право публиковать (без модерации) и/или редактировать новости на сайте, захотят воспользоваться этой возможностью для того, чтобы зарабатывать легкие деньги, продавая IFRAME трафик.
Также можно перенаправлять посетителей на другой сайт(фейк), и если они не будут внимательны, очень большая вероятность того что хакер получит их пароли.
Но гораздо хуже то, что злоумышленник может использовать XSS чтобы заразить пользователей, которые посещают уязвимую страничку.
Он может указать URL страницы/файла на которой может находиться опасный код, и при загрузке страницы уязвимого сайта, вредоносный файл будет загружаться с другого сервера.
Я считаю, что это критическая уязвимость, потому что хакер, используя эту уязвимость, может принести большой ущерб администратору сайта.
Конечно, подробнее об уязвимость не буду писать так как, думаю, начнется большой хаос, если все узнают что это за код…
А для того чтобы устранить эту уязвимость, самый легкий способ, это:
в \engine\classes\, открыть parse.class.php, найти:
var $tagBlacklist = array ('applet',
и заменить на
var $tagBlacklist = array ('applet', 'object',
Конечно, для тех кто используют флэш ролики, это не самый хороший метод, так как в новостях, больше не будет возможно помещать флэш видео -- но это уже вам решать.
Другой способ еще не нашел и к сожалению, на данный момент единственное чем могу помочь, это рекомендовать вам чтобы вы были внимательнее и более тщательно изучили исходный код вашего сайта. А может быть, администрация dle-news.ru уже готовит патч...
Автор:
Кондураке Виктор
Кондураке Виктор
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Панель управления
Настройки страницы
помощь: С помощью данных кнопок Вы можете изменить расположение информационных блоков по горизонтали, а также настраивать яркость и размер шрифта.
Для этого, в Вашем браузере должен быть включён JavaScript и браузер должен принимать файлы cookie нашего домена.
Все изменения автоматически сохраняются в cookie-файле Вашего браузера в течение 365 дней со дня изменений настроек.
Подписка на сайт
Календарь
| Пн | Вт | Ср | Чт | Пт | Сб | Вс |
|---|---|---|---|---|---|---|
Популярные новости
Облако тегов
Microsoft Windows Антивирус Атака БРАУЗЕР Безопасность ВРЕДОНОСНЫЕ Вредоносные программы ДАННЫЕ ЗАЩИТА ИНФОРМАЦИЯ Интернет КОМПЬЮТЕР НОВОСТИ ПО ПРОГРАММА САЙТ СТАТЬИ США Система Софт ТРОЯН Термины УЯЗВИМОСТИ Уязвимые сайты ФАЙЛ Хакер ЧЕРВЬ безопасности взлом вирус доступ злоумышленник программы сайты сервер спам уязвимость файлы хакеры
Последние комментарии
» Написал: Павел
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Катерина
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Administrator
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: Елена
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: kholod
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
» Написал: Серега из Стрежевого
в новости: Бесплатный ключ на 1 год для Comodo Internet Security Pro 2012
» Написал: Akex
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Катерина
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Administrator
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: Елена
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: kholod
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
» Написал: Серега из Стрежевого
в новости: Бесплатный ключ на 1 год для Comodo Internet Security Pro 2012
» Написал: Akex
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO