Implementeace bezpecnostnich opatreni na foru
Moderátor: Odbor - technicky
Pravidla fóra
- Sem vkládejte připomínky k činnosti technického odboru. Ke každému podnětu založte nové téma.
- Na dotazy a podněty odpovídají dobrovolníci, buďte prosím ohleduplní. Svá podání pište slušně a požadavky formulujte dostatečně určitě.
- Místo odkazů do jiných fór citujte celé texty, protože lidé mají zobrazování některých fór vypnuté.
- V podatelně se nediskutuje a jakmile bylo podání vyřešeno, téma se zamyká.
- Lukas.Novy
- Příspěvky: 21224
- Registrován: 02 črc 2009, 22:45
- Profese: specialista pocitacove bezpecnosti
- Bydliště: Praha, V Klaudu 42
- Dal poděkování: 2361 poděkování
- Dostal poděkování: 11863 poděkování
- Kontaktovat uživatele:
Implementeace bezpecnostnich opatreni na foru
Bylo implementovano bezpecne vkladani obrazku.
Diky tomu bylo mozne aktivovat Content-Security-Policy a nase forum je zase o neco bezpecnejsi. Po procisteni ruznych inline stylu a scriptu dojde k jeho dalsimu utazeni.
Stale mame zranitelne palce na CSRF, bohuzel upgradovat mod a zjistit, jestli to uz nebylo nahodou opraveno bude pain-in-the-ass prace na nekolik hodin (upgrade pres 10 verzi), do te doby vezte, ze se vase podekovani muze objevit u nekoho, u koho ste nechteli.
Hlaste, kdybyste narazili na issue, ale nemelo by to byt.
Diky tomu bylo mozne aktivovat Content-Security-Policy a nase forum je zase o neco bezpecnejsi. Po procisteni ruznych inline stylu a scriptu dojde k jeho dalsimu utazeni.
Stale mame zranitelne palce na CSRF, bohuzel upgradovat mod a zjistit, jestli to uz nebylo nahodou opraveno bude pain-in-the-ass prace na nekolik hodin (upgrade pres 10 verzi), do te doby vezte, ze se vase podekovani muze objevit u nekoho, u koho ste nechteli.
Hlaste, kdybyste narazili na issue, ale nemelo by to byt.
- Tito uživatelé poděkovali autorovi Lukas.Novy za příspěvek:
- Frantisek.Navrkal
- Lukas.Novy
- Příspěvky: 21224
- Registrován: 02 črc 2009, 22:45
- Profese: specialista pocitacove bezpecnosti
- Bydliště: Praha, V Klaudu 42
- Dal poděkování: 2361 poděkování
- Dostal poděkování: 11863 poděkování
- Kontaktovat uživatele:
Re: Implementeace bezpecnostnich opatreni na foru
Palcovani nyni neni prakticky zneuzitelne. Pro zneuziti by bylo potreba nejdrive objevit novou chybu na foru jisteho bezpecnostniho typu. Jestli se to nekomu povede neodbornou manipulaci s custom bbcode, tak mu nakopu prdel
Jedna se tedy stale o workaround.
Jedna se tedy stale o workaround.
- Tito uživatelé poděkovali autorovi Lukas.Novy za příspěvek:
- Frantisek.Navrkal
- Lukas.Novy
- Příspěvky: 21224
- Registrován: 02 črc 2009, 22:45
- Profese: specialista pocitacove bezpecnosti
- Bydliště: Praha, V Klaudu 42
- Dal poděkování: 2361 poděkování
- Dostal poděkování: 11863 poděkování
- Kontaktovat uživatele:
Full disclosure palcujiciho exploitu
Full disclosure exploitu umoznujici zjistovat jak kdo hlasoval v hlasovanich s viditelnym vysledkem.
Vzhledem k tomu, ze autor se jiz o mod nestara a tedy ho nelze kontaktovat a phpbb vetev 3.0.x, kterou pouzivame konci a je nahrazovana 3.1.x, podelim se s vami o kompletni navod jak zneuzit proklamovanou chybu.
Utok je provaden dvoufazove.
Nejdrive je pomoci chyby CSRF chyby v palcovani pridruzena identita uzivatele k trackovaci cookie.
- utocnik si vloz napriklad do podpisu tag [ img ] odkazujici na aktivni skript na utocnikove serveru.
- pokud je skiptu zaslana cookie, overi se, zda-li je k teto cookie v databazi pridruzeno jmeno, pokud neni, novou cookie neposilame, ale pokracuje se jako by nebyla cookie obdrzena
- pri nalezenem spojeni jmena a cookie se do prohlizece odesle standardni obrazek vhodny do podpisu
- pokud neni cookie nalezena, vymyslime novou a prikazeme ji k nastaveni klientovi, z automaticky aktualizovane databaze vybereme cislo nahodneho prispevku nahodneho uzivatele, stahneme si stranku s timto prispevkem a z ni ziskame seznam palcu na prispevku. Nasledne odesleme do prohlizece presmerovani na palec tohoto prispevku.
- po par milisekundach si zobrazime stranku znova a porovname seznam palcu, opakujeme dokud jsou seznamy stejne maximalne 10x, pak to vzdame.
Druhe faze se provadi zapomoci vlozeni [ img ] tagu do prispevku nebo podpisu tak, abychom se dostali svym prispevkem na prvni stranku s hlasovanim. Pripadne socialnim inzenyrstvym donutime predsedajiciho aby si tento obrazek dal do podpisu sam, neni to vubec nic tezkeho.
- adresa obrazku je opet aktivni skript, ktery vraci bud neco, co si lide radi davaji do podpisu a nebo proste pruhledny 1x1 obrazek
- pred odeslanim si ulozime referer z nej zkontrolujeme, jestli je obrazek zobrazovan na prvni strance s hlasovanim, o jehoz vysledky mame zajem.
- stahneme si stranku ulozenou v refereru, pokud je stav hlasovani jiny nez ulozeny stav a s dotazem na obrazek nam byla zaslana trackovaci cookie spojena, pak updatneme informaci o hlasu k teto cookie.
- pokud je ke cookie pridruzeno jmeno, mame jiz hotovy vysledek, pokud neni, musime pockat az se uzivatel uspesne chyti do kroku 1.
Vzhledem k tomu, ze autor se jiz o mod nestara a tedy ho nelze kontaktovat a phpbb vetev 3.0.x, kterou pouzivame konci a je nahrazovana 3.1.x, podelim se s vami o kompletni navod jak zneuzit proklamovanou chybu.
Utok je provaden dvoufazove.
Nejdrive je pomoci chyby CSRF chyby v palcovani pridruzena identita uzivatele k trackovaci cookie.
- utocnik si vloz napriklad do podpisu tag [ img ] odkazujici na aktivni skript na utocnikove serveru.
- pokud je skiptu zaslana cookie, overi se, zda-li je k teto cookie v databazi pridruzeno jmeno, pokud neni, novou cookie neposilame, ale pokracuje se jako by nebyla cookie obdrzena
- pri nalezenem spojeni jmena a cookie se do prohlizece odesle standardni obrazek vhodny do podpisu
- pokud neni cookie nalezena, vymyslime novou a prikazeme ji k nastaveni klientovi, z automaticky aktualizovane databaze vybereme cislo nahodneho prispevku nahodneho uzivatele, stahneme si stranku s timto prispevkem a z ni ziskame seznam palcu na prispevku. Nasledne odesleme do prohlizece presmerovani na palec tohoto prispevku.
- po par milisekundach si zobrazime stranku znova a porovname seznam palcu, opakujeme dokud jsou seznamy stejne maximalne 10x, pak to vzdame.
Druhe faze se provadi zapomoci vlozeni [ img ] tagu do prispevku nebo podpisu tak, abychom se dostali svym prispevkem na prvni stranku s hlasovanim. Pripadne socialnim inzenyrstvym donutime predsedajiciho aby si tento obrazek dal do podpisu sam, neni to vubec nic tezkeho.
- adresa obrazku je opet aktivni skript, ktery vraci bud neco, co si lide radi davaji do podpisu a nebo proste pruhledny 1x1 obrazek
- pred odeslanim si ulozime referer z nej zkontrolujeme, jestli je obrazek zobrazovan na prvni strance s hlasovanim, o jehoz vysledky mame zajem.
- stahneme si stranku ulozenou v refereru, pokud je stav hlasovani jiny nez ulozeny stav a s dotazem na obrazek nam byla zaslana trackovaci cookie spojena, pak updatneme informaci o hlasu k teto cookie.
- pokud je ke cookie pridruzeno jmeno, mame jiz hotovy vysledek, pokud neni, musime pockat az se uzivatel uspesne chyti do kroku 1.
- Tito uživatelé poděkovali autorovi Lukas.Novy za příspěvky (celkem 4):
- Marek.Necada, Frantisek.Navrkal, Ondrej.dj-bobr.Ulehla, Ondrej_Marek
- Lukas.Novy
- Příspěvky: 21224
- Registrován: 02 črc 2009, 22:45
- Profese: specialista pocitacove bezpecnosti
- Bydliště: Praha, V Klaudu 42
- Dal poděkování: 2361 poděkování
- Dostal poděkování: 11863 poděkování
- Kontaktovat uživatele:
Re: Implementeace bezpecnostnich opatreni na foru
Kdo, odkdy a proc o chybe vedel se muzete dozvedet zde:
clenske-podnety-f350/narizeni-vylouceni ... ml#p411356
clenske-podnety-f350/narizeni-vylouceni ... ml#p411356
- Petr.Vileta
- Člen KS Plzeňský kraj
- Příspěvky: 31207
- Registrován: 22 črc 2009, 18:12
- Profese: Celkem Spokojený Důchodce
- Bydliště: Plzeň 2
- Dal poděkování: 27841 poděkování
- Dostal poděkování: 23739 poděkování
- Kontaktovat uživatele:
Re: Implementeace bezpecnostnich opatreni na foru
Příliš mnoho předpokladů je v tvých konspiračních plánech
a jestli to správně chápu, pak by stačilo zařídit, aby ve vlákně s phpbb anketou bylo možné hlasovat, ale nikdo, kromě předsedajícího, tam nemohl psát příspěvky. Koukám do jakési zkušební verze phpbb a zdá se, že to jde nastavit v administrátorském rozhraní.
Může hlasovat: ANO
Může číst fórum: ANO
většina ostatních možností: NE
Martine Kučero?
Může hlasovat: ANO
Může číst fórum: ANO
většina ostatních možností: NE
Martine Kučero?
- Tito uživatelé poděkovali autorovi Petr.Vileta za příspěvek:
- Martin.Shanil
Kumulovaný zastupitel a člen finančních výborů zastupitelstev Města Plzně a Městského obvodu Plzeň 2.
tel: 608 445 655 (odpoledne a večer)
stínový ministr švihlých nápadů a fórista
----------------------------------------
Mějme vždy na paměti: Běžný občan je až ten poslední, komu bychom chtěli něco zakazovat.
tel: 608 445 655 (odpoledne a večer)
stínový ministr švihlých nápadů a fórista
----------------------------------------
Mějme vždy na paměti: Běžný občan je až ten poslední, komu bychom chtěli něco zakazovat.
- Lukas.Novy
- Příspěvky: 21224
- Registrován: 02 črc 2009, 22:45
- Profese: specialista pocitacove bezpecnosti
- Bydliště: Praha, V Klaudu 42
- Dal poděkování: 2361 poděkování
- Dostal poděkování: 11863 poděkování
- Kontaktovat uživatele:
Re: Implementeace bezpecnostnich opatreni na foru
Chapes to spatne, protoze neumis cist.Petr.Vileta píše:jestli to správně ch
- Petr.Vileta
- Člen KS Plzeňský kraj
- Příspěvky: 31207
- Registrován: 22 črc 2009, 18:12
- Profese: Celkem Spokojený Důchodce
- Bydliště: Plzeň 2
- Dal poděkování: 27841 poděkování
- Dostal poděkování: 23739 poděkování
- Kontaktovat uživatele:
Re: Implementeace bezpecnostnich opatreni na foru
Tak ještě jednou.Lukas.Novy píše:Chapes to spatne, protoze neumis cist.Petr.Vileta píše:jestli to správně ch
- Diskuse se povede v jednom vlákně.
- Hlasování bude v jiném vlákně, kam členové uvidí, budou moci hlasovat, ale NEBUDOU tam moci psát.

Donutit sociálním inženýrstvím předsedajícího ke vložení obrázku předpokládá, že předsedající je opilý, zhulený, nespal 40 hodin a ještě má IQ menší než je venkovní teplota.
Kumulovaný zastupitel a člen finančních výborů zastupitelstev Města Plzně a Městského obvodu Plzeň 2.
tel: 608 445 655 (odpoledne a večer)
stínový ministr švihlých nápadů a fórista
----------------------------------------
Mějme vždy na paměti: Běžný občan je až ten poslední, komu bychom chtěli něco zakazovat.
tel: 608 445 655 (odpoledne a večer)
stínový ministr švihlých nápadů a fórista
----------------------------------------
Mějme vždy na paměti: Běžný občan je až ten poslední, komu bychom chtěli něco zakazovat.
- Lukas.Novy
- Příspěvky: 21224
- Registrován: 02 črc 2009, 22:45
- Profese: specialista pocitacove bezpecnosti
- Bydliště: Praha, V Klaudu 42
- Dal poděkování: 2361 poděkování
- Dostal poděkování: 11863 poděkování
- Kontaktovat uživatele:
Re: Implementeace bezpecnostnich opatreni na foru
Je to porad zneuzitele. Pred nedavnem si mel v podpisu jabber status napriklad.
- Petr.Vileta
- Člen KS Plzeňský kraj
- Příspěvky: 31207
- Registrován: 22 črc 2009, 18:12
- Profese: Celkem Spokojený Důchodce
- Bydliště: Plzeň 2
- Dal poděkování: 27841 poděkování
- Dostal poděkování: 23739 poděkování
- Kontaktovat uživatele:
Re: Implementeace bezpecnostnich opatreni na foru
Takže pokud by předsedající měl v podpisu obrázek, je to zneužitelné.Lukas.Novy píše:Je to porad zneuzitele. Pred nedavnem si mel v podpisu jabber status napriklad.
Administration Control Panel
--> FORUM BASED PERMISSIONS
----> Group forum permissions
--------> Registered users [Forum permissions] (tady by byla změna)
----------> Can use [img] BBCode tag Yes/No
Kumulovaný zastupitel a člen finančních výborů zastupitelstev Města Plzně a Městského obvodu Plzeň 2.
tel: 608 445 655 (odpoledne a večer)
stínový ministr švihlých nápadů a fórista
----------------------------------------
Mějme vždy na paměti: Běžný občan je až ten poslední, komu bychom chtěli něco zakazovat.
tel: 608 445 655 (odpoledne a večer)
stínový ministr švihlých nápadů a fórista
----------------------------------------
Mějme vždy na paměti: Běžný občan je až ten poslední, komu bychom chtěli něco zakazovat.
- Lukas.Novy
- Příspěvky: 21224
- Registrován: 02 črc 2009, 22:45
- Profese: specialista pocitacove bezpecnosti
- Bydliště: Praha, V Klaudu 42
- Dal poděkování: 2361 poděkování
- Dostal poděkování: 11863 poděkování
- Kontaktovat uživatele:
Re: Implementeace bezpecnostnich opatreni na foru
Bug: na mobilnim vzhledu se nezobrazuji obrazky. Neni tam prepis na ipx.pirati.cz, nastaveni CSP nastesti zabranilo moznosti podvadet s podpisy pres tento vzhled. Ouje.
Opraveno bude jak bude cas.
Opraveno bude jak bude cas.