Вход • Регистрация

Активная XSS в теле сообщения форума

  • 02 ноября 2010 г. , редакция: 02 ноября 2010 г.
  • Именно на этом форуме писать могут только наши зарегистрированные пользователи. Для их удобства мы решили разрешить HTML-теги и прочие смежные возможности.
    Считаете, что есть смысл закрыть их?
    Или у Вас есть аналогичный пример XSS на каком-либо созданном сайте на diafan.CMS? ;)
    • 02 ноября 2010 г.
    • Хотя да, наверное зря... Не каждый зарегистрированный пользователь - пользователь :)

      byzeg
      byzeg@mailforspam.com
      Зарегистрировался: вчера, 23:31

      Специально зарегистрировались, чтобы это запостить?
  • 03 ноября 2010 г. , редакция: 03 ноября 2010 г.
  • Мною были использованы лишь встроенные так называемые BB-теги, которые есть в каждой версии CMS с включённом форуме. Для примера на том же Demo-доступе присутствует аналогичная уязвимость. А то что постить сообщения могут только зарегистрированные пользователи - так это вообще не преграда, потому что форум нужен как раз затем, чтобы на нём можно было регистрироваться и общаться.

    И да, я зарегистрировался специально, чтобы отписать ою уязвимости в продукте, за который вы просите денег :)

    • 03 ноября 2010 г.
    • За каждый продукт просят деньги. Неуязвимых продуктов нет в природе. Возьмите Windows: патчи безопасности выходят еженедельно - и что? Майкрософту после каждой дыры в безопасности складывать лапы и перестать просить деньги за продукт?

      Модуль форума у нас вышел в версии 4.3, т.е. месяц назад. Впервые мы его запустили именно здесь и именно на user.diafan.ru обкатывали, прежде чем создать модуль. Возможно, это была ошибка пропускать весь HTML в ВВ-теги, но это решение было принято осознанно, т.к. этот форум для вебмастеров и наших партнеров. В модуле для широких масс надо жестко всё урезать, согласны. Получается, byzeg, вы первый начали аудит безопасности нового модуля, за что вам благодарность. :) А мы этот аудит продолжим.

      Чтобы была понятна всем пользователям ситуация: указанная уязвимость присутствовала только в модуле "Форум" версии 4.3.0-4.3.2
      Если у кого-то используется версия в этих пределах, обновите модуль "Форума" через автообновление.
    • 03 ноября 2010 г.
    • Кстати, с какой целью Вы не поленились зарегистрироваться и написать о найденной уязвимости? :)
      1. Хотите нам предложить свои услуги по аудиту?
      2. Хотите предупредить всех пользователей, чтобы они "не платили деньги за diafan.CMS, т.к. продукт с уязвимостью" и насолить нам?
      3. Для поднятия собственной самооценки "хакера"?
      Если первое, пишите напрямую, побеседуем.
      Если второе, то грамотным пользователям важно оперативное обновление и поддержка продукта в случае чего, а не статичная бронепрограмма. А патч у нас вышел уже на другой день. ;)
      Ну, а если третье, то вопросов нет.
      Или есть иная причина?
      • 03 ноября 2010 г.
      • Заманил тот факт, что вы нанимаете для аудита людей со стороны, вот и стало интересно на сколько это эффективно. Ну и под общую мелодию ленивости техподдержки к таким случаям тоже интересно было посмотреть на вашу оперативность. Услуг на данный момент предлагать не могу, потому что процесс открытия полноценной компании, которая этим будет заниматься, пока ещё не закончен. А раз нет "лица", то и говорить с нами никто не захочет, а уж тем боолее платить деньги. Ну а в целом сие "действие" запланировано как эдакий вид рекламы, когда клиенту сначала предоставляется запугивающся, но не зловредная демонстрация, а потом предлагаются услуги. Потому что в РУ-зоне всё ещё никак не могут привыкнуть к тому, что за безопасность тоже нужно платить, и пока не припечёт никто и пальцем не пошевелит.

Новости

  • 18 июня
  • В сборке большое обновление demo-шаблона, дополнительная защита от спама, улучшение YML-импорта и еще много важного и интересного.
  • 24 апреля
  • В новой сборке совершили революцию в структурировании кастомизированной информации в шаблонах, добавили авторегистрацию пользователей, усовершенствовали защиту от спама, актуализировали накопительную скидку, а также улучшили производительность и стабильность работы системы.
  • 12 января
  • После выхода сборки 7.1 мы выпустили уже три патча, в каждом из которых улучшаем административную часть сайта. Сборка DIAFAN.CMS 7.1.3 уже доступна к установке. 

Форум