Fórum Pirátské strany

Bylo implementovano bezpecne vkladani obrazku.
Diky tomu bylo mozne aktivovat Content-Security-Policy a nase forum je zase o neco bezpecnejsi. Po procisteni ruznych inline stylu a scriptu dojde k jeho dalsimu utazeni.

Stale mame zranitelne palce na CSRF, bohuzel upgradovat mod a zjistit, jestli to uz nebylo nahodou opraveno bude pain-in-the-ass prace na nekolik hodin (upgrade pres 10 verzi), do te doby vezte, ze se vase podekovani muze objevit u nekoho, u koho ste nechteli.

Hlaste, kdybyste narazili na issue, ale nemelo by to byt.

Palcovani nyni neni prakticky zneuzitelne. Pro zneuziti by bylo potreba nejdrive objevit novou chybu na foru jisteho bezpecnostniho typu. Jestli se to nekomu povede neodbornou manipulaci s custom bbcode, tak mu nakopu prdel

Jedna se tedy stale o workaround.

Full disclosure exploitu umoznujici zjistovat jak kdo hlasoval v hlasovanich s viditelnym vysledkem.


Vzhledem k tomu, ze autor se jiz o mod nestara a tedy ho nelze kontaktovat a phpbb vetev 3.0.x, kterou pouzivame konci a je nahrazovana 3.1.x, podelim se s vami o kompletni navod jak zneuzit proklamovanou chybu.

Utok je provaden dvoufazove.

Nejdrive je pomoci chyby CSRF chyby v palcovani pridruzena identita uzivatele k trackovaci cookie.
- utocnik si vloz napriklad do podpisu tag [ img ] odkazujici na aktivni skript na utocnikove serveru.
- pokud je skiptu zaslana cookie, overi se, zda-li je k teto cookie v databazi pridruzeno jmeno, pokud neni, novou cookie neposilame, ale pokracuje se jako by nebyla cookie obdrzena
- pri nalezenem spojeni jmena a cookie se do prohlizece odesle standardni obrazek vhodny do podpisu
- pokud neni cookie nalezena, vymyslime novou a prikazeme ji k nastaveni klientovi, z automaticky aktualizovane databaze vybereme cislo nahodneho prispevku nahodneho uzivatele, stahneme si stranku s timto prispevkem a z ni ziskame seznam palcu na prispevku. Nasledne odesleme do prohlizece presmerovani na palec tohoto prispevku.
- po par milisekundach si zobrazime stranku znova a porovname seznam palcu, opakujeme dokud jsou seznamy stejne maximalne 10x, pak to vzdame.

Druhe faze se provadi zapomoci vlozeni [ img ] tagu do prispevku nebo podpisu tak, abychom se dostali svym prispevkem na prvni stranku s hlasovanim. Pripadne socialnim inzenyrstvym donutime predsedajiciho aby si tento obrazek dal do podpisu sam, neni to vubec nic tezkeho.
- adresa obrazku je opet aktivni skript, ktery vraci bud neco, co si lide radi davaji do podpisu a nebo proste pruhledny 1x1 obrazek
- pred odeslanim si ulozime referer z nej zkontrolujeme, jestli je obrazek zobrazovan na prvni strance s hlasovanim, o jehoz vysledky mame zajem.
- stahneme si stranku ulozenou v refereru, pokud je stav hlasovani jiny nez ulozeny stav a s dotazem na obrazek nam byla zaslana trackovaci cookie spojena, pak updatneme informaci o hlasu k teto cookie.
- pokud je ke cookie pridruzeno jmeno, mame jiz hotovy vysledek, pokud neni, musime pockat az se uzivatel uspesne chyti do kroku 1.

Kdo, odkdy a proc o chybe vedel se muzete dozvedet zde:
clenske-podnety-f350/narizeni-vylouceni ... ml#p411356

Příliš mnoho předpokladů je v tvých konspiračních plánech a jestli to správně chápu, pak by stačilo zařídit, aby ve vlákně s phpbb anketou bylo možné hlasovat, ale nikdo, kromě předsedajícího, tam nemohl psát příspěvky. Koukám do jakési zkušební verze phpbb a zdá se, že to jde nastavit v administrátorském rozhraní.
Může hlasovat: ANO
Může číst fórum: ANO
většina ostatních možností: NE

Martine Kučero?

Petr.Vileta píše:jestli to správně ch

Chapes to spatne, protoze neumis cist.

Lukas.Novy píše:

Petr.Vileta píše:jestli to správně ch

Chapes to spatne, protoze neumis cist.

Tak ještě jednou.

1. Diskuse se povede v jednom vlákně.
2. Hlasování bude v jiném vlákně, kam členové uvidí, budou moci hlasovat, ale NEBUDOU tam moci psát. Ověřil jsem si, že to lze z admin panelu nastavit.

Pořád je to zneužitelné?

Donutit sociálním inženýrstvím předsedajícího ke vložení obrázku předpokládá, že předsedající je opilý, zhulený, nespal 40 hodin a ještě má IQ menší než je venkovní teplota.

Je to porad zneuzitele. Pred nedavnem si mel v podpisu jabber status napriklad.

Lukas.Novy píše:Je to porad zneuzitele. Pred nedavnem si mel v podpisu jabber status napriklad.

Takže pokud by předsedající měl v podpisu obrázek, je to zneužitelné.

Administration Control Panel
--> FORUM BASED PERMISSIONS
----> Group forum permissions
--------> Registered users [Forum permissions] (tady by byla změna)
----------> Can use [img] BBCode tag Yes/No

Bug: na mobilnim vzhledu se nezobrazuji obrazky. Neni tam prepis na ipx.pirati.cz, nastaveni CSP nastesti zabranilo moznosti podvadet s podpisy pres tento vzhled. Ouje.

Opraveno bude jak bude cas.