Implementeace bezpecnostnich opatreni na foru

[Lukas.Novy]

Bylo implementovano bezpecne vkladani obrazku.
Diky tomu bylo mozne aktivovat Content-Security-Policy a nase forum je zase o neco bezpecnejsi. Po procisteni ruznych inline stylu a scriptu dojde k jeho dalsimu utazeni.

Stale mame zranitelne palce na CSRF, bohuzel upgradovat mod a zjistit, jestli to uz nebylo nahodou opraveno bude pain-in-the-ass prace na nekolik hodin (upgrade pres 10 verzi), do te doby vezte, ze se vase podekovani muze objevit u nekoho, u koho ste nechteli.

Hlaste, kdybyste narazili na issue, ale nemelo by to byt.

[Lukas.Novy]

Palcovani nyni neni prakticky zneuzitelne. Pro zneuziti by bylo potreba nejdrive objevit novou chybu na foru jisteho bezpecnostniho typu. Jestli se to nekomu povede neodbornou manipulaci s custom bbcode, tak mu nakopu prdel

Jedna se tedy stale o workaround.

[Lukas.Novy]

Full disclosure exploitu umoznujici zjistovat jak kdo hlasoval v hlasovanich s viditelnym vysledkem.


Vzhledem k tomu, ze autor se jiz o mod nestara a tedy ho nelze kontaktovat a phpbb vetev 3.0.x, kterou pouzivame konci a je nahrazovana 3.1.x, podelim se s vami o kompletni navod jak zneuzit proklamovanou chybu.

Utok je provaden dvoufazove.

Nejdrive je pomoci chyby CSRF chyby v palcovani pridruzena identita uzivatele k trackovaci cookie.
- utocnik si vloz napriklad do podpisu tag [ img ] odkazujici na aktivni skript na utocnikove serveru.
- pokud je skiptu zaslana cookie, overi se, zda-li je k teto cookie v databazi pridruzeno jmeno, pokud neni, novou cookie neposilame, ale pokracuje se jako by nebyla cookie obdrzena
- pri nalezenem spojeni jmena a cookie se do prohlizece odesle standardni obrazek vhodny do podpisu
- pokud neni cookie nalezena, vymyslime novou a prikazeme ji k nastaveni klientovi, z automaticky aktualizovane databaze vybereme cislo nahodneho prispevku nahodneho uzivatele, stahneme si stranku s timto prispevkem a z ni ziskame seznam palcu na prispevku. Nasledne odesleme do prohlizece presmerovani na palec tohoto prispevku.
- po par milisekundach si zobrazime stranku znova a porovname seznam palcu, opakujeme dokud jsou seznamy stejne maximalne 10x, pak to vzdame.

Druhe faze se provadi zapomoci vlozeni [ img ] tagu do prispevku nebo podpisu tak, abychom se dostali svym prispevkem na prvni stranku s hlasovanim. Pripadne socialnim inzenyrstvym donutime predsedajiciho aby si tento obrazek dal do podpisu sam, neni to vubec nic tezkeho.
- adresa obrazku je opet aktivni skript, ktery vraci bud neco, co si lide radi davaji do podpisu a nebo proste pruhledny 1x1 obrazek
- pred odeslanim si ulozime referer z nej zkontrolujeme, jestli je obrazek zobrazovan na prvni strance s hlasovanim, o jehoz vysledky mame zajem.
- stahneme si stranku ulozenou v refereru, pokud je stav hlasovani jiny nez ulozeny stav a s dotazem na obrazek nam byla zaslana trackovaci cookie spojena, pak updatneme informaci o hlasu k teto cookie.
- pokud je ke cookie pridruzeno jmeno, mame jiz hotovy vysledek, pokud neni, musime pockat az se uzivatel uspesne chyti do kroku 1.

[Lukas.Novy]

Kdo, odkdy a proc o chybe vedel se muzete dozvedet zde:
clenske-podnety-f350/narizeni-vylouceni ... ml#p411356

[Petr.Vileta]

Příliš mnoho předpokladů je v tvých konspiračních plánech a jestli to správně chápu, pak by stačilo zařídit, aby ve vlákně s phpbb anketou bylo možné hlasovat, ale nikdo, kromě předsedajícího, tam nemohl psát příspěvky. Koukám do jakési zkušební verze phpbb a zdá se, že to jde nastavit v administrátorském rozhraní.
Může hlasovat: ANO
Může číst fórum: ANO
většina ostatních možností: NE

Martine Kučero?

[Lukas.Novy]

jestli to správně ch

Chapes to spatne, protoze neumis cist.

[Petr.Vileta]

jestli to správně ch

Chapes to spatne, protoze neumis cist.

Tak ještě jednou.

1. Diskuse se povede v jednom vlákně.
2. Hlasování bude v jiném vlákně, kam členové uvidí, budou moci hlasovat, ale NEBUDOU tam moci psát. Ověřil jsem si, že to lze z admin panelu nastavit.

Pořád je to zneužitelné?

Donutit sociálním inženýrstvím předsedajícího ke vložení obrázku předpokládá, že předsedající je opilý, zhulený, nespal 40 hodin a ještě má IQ menší než je venkovní teplota.

[Lukas.Novy]

Je to porad zneuzitele. Pred nedavnem si mel v podpisu jabber status napriklad.

[Petr.Vileta]

Je to porad zneuzitele. Pred nedavnem si mel v podpisu jabber status napriklad.

Takže pokud by předsedající měl v podpisu obrázek, je to zneužitelné.

Administration Control Panel
--> FORUM BASED PERMISSIONS
----> Group forum permissions
--------> Registered users [Forum permissions] (tady by byla změna)
----------> Can use [img] BBCode tag Yes/No

[Lukas.Novy]

Bug: na mobilnim vzhledu se nezobrazuji obrazky. Neni tam prepis na ipx.pirati.cz, nastaveni CSP nastesti zabranilo moznosti podvadet s podpisy pres tento vzhled. Ouje.

Opraveno bude jak bude cas.