[Urgent] Exploit FSB :: Fire Soft Board

Ohax

Volcan

Age : 21 ans
Messages : 1944
Inscrit : 22 Juin 2005

27 Décembre 2006, 3:03

Bonsoir,

Voici le message que j'ai pu recevoir sur adojeunz :

Code (Sélectionner le code)

Voila une super video qui nous montre la réaliter d'une maniére amusante sur Sarkozy et Le pen

[img]http://www.adojeunz.com/forum/connexion.php?deconnexion=1[/img]

J'ai mis du temps avant de comprendre pourquoi j'étais déconnecté lorsque j'accédais à cette page... Jusqu'à vérifier dans phpmyadmin...

Très malin le petit gars.

Du coup avec cette méthode n'importe qui peu poster n'importe quoi en toute impunité.

IMG ne vérifie pas l'extension (.jpg,.JPG,.png,.PNG, etc...)

Cela représente à mon avis une faille de sécurité importante.

AdoJeunZ - Forum Gothique - DoudOhax Blog d'un gothocouple

Ohax

Volcan

Age : 21 ans
Messages : 1944
Inscrit : 22 Juin 2005

27 Décembre 2006, 3:10

Reproduit ici :

http://www.fire-soft-board.com/fsb/sujet-6024-1.html

Attention afficher cette page vous fait perdre votre session.

AdoJeunZ - Forum Gothique - DoudOhax Blog d'un gothocouple

burster

Volcan

Age : 2208 ans
Messages : 1682
Inscrit : 19 Mars 2005

27 Décembre 2006, 9:34

J'en avais déjà parlé sous une forme il y a un petit temps de ça.
Ce qu'il faudrait c'est tout simplement remplacer ou interdire de poster des liens ayant rapport avec le site en cours $_SERVER['truc machin du wwww'] ...

Je me demande quel portée peut avoir ce truc... si on prend un lien dans le panneau d'administration ... et qu'un admin visualise la page concernée...

Bref moi j'ai pas le temps de testé et petit Genova est absent à partir du 30

e-Traker

Ludo79

Feu follet

Age : 15 ans
Messages : 121
Inscrit : 14 Janvier 2006

27 Décembre 2006, 12:21

Bon je suis à la ramasse je comprend rien de ce que vous dites. Doit on considérer ça comme une menace ?

Ludo est E.N. (extra-nulos) venu ici pour essayer de devenir un E.No (extra-noob) Ils sont parmis nous !

Ohax

Volcan

Age : 21 ans
Messages : 1944
Inscrit : 22 Juin 2005

27 Décembre 2006, 12:53

Citation (burster, 27 Décembre 2006, 9:34)

Ce qu'il faudrait c'est tout simplement remplacer ou interdire de poster des liens ayant rapport avec le site en cours $_SERVER['truc machin du wwww'] ...

Je crains qu'il y ait d'autres applications comme le vol de cookies.

C'est pour cela qu'activer les balises html est déconseillé sur phpbb.

Il faudrait carrement limiter l'usage de la balise IMG aux formats possibles.

Interdire le format d'image .tif et .TIF également -> souvent utilisé pour les virus.

AdoJeunZ - Forum Gothique - DoudOhax Blog d'un gothocouple

Genova

Chef du projet FSB

Age : 22 ans
Messages : 14506
Inscrit : 16 Septembre 2004

27 Décembre 2006, 12:56

C'est effectivement génant, et empécher de linker des images sur le même serveur serait un peu stupide burster, combien de webmaster hébergent leur propres images et les affichent ensuite sur leur forum ?

Je vais essayer de voir comment les autres forums ont gérés la chose, et corriger le problème.

Cause Im as free as a bird now, And this bird you can not change. - Freebird - Lynyrd Skynyrd
There's someone in my head but it's not me. - Brain damage - Pink Floyd
I said baby, you know Im gonna leave you. - Babe I'm gonna leave you - Led Zeppelin
Father ? yes son, I want to kill you - The end - The Doors

Midori

Volcan

Age : 32 ans
Messages : 1836
Inscrit : 28 Janvier 2005

27 Décembre 2006, 13:05

La plupart utilisent une vérif via l'extension (jpg, gif, png) je dirais. Éventuellement le type lu en début d'image, mais ça demande pas mal de travail du serveur, donc...

Midori ^^;

Genova

Chef du projet FSB

Age : 22 ans
Messages : 14506
Inscrit : 16 Septembre 2004

27 Décembre 2006, 13:09

Effectivement, ca limite énormément les images qu'on peut mettre dans les messages en fait (ca enlève le fait de mettre des images dynamiques).

Donc la seule solution que je vois c'est d'empécher les images dynamiques, donc pas de & ? dans les URL, et uniquement des extensions terminant par gif|png|jpg|jprg|bmp etc ..

Cause Im as free as a bird now, And this bird you can not change. - Freebird - Lynyrd Skynyrd
There's someone in my head but it's not me. - Brain damage - Pink Floyd
I said baby, you know Im gonna leave you. - Babe I'm gonna leave you - Led Zeppelin
Father ? yes son, I want to kill you - The end - The Doors

Ohax

Volcan

Age : 21 ans
Messages : 1944
Inscrit : 22 Juin 2005

27 Décembre 2006, 13:15

Exact.

Il faut restreindre aux extensions les plus populaires sans oublier d'interdire le tif|TIF et de gérer extensions en majuscules et en minuscules.

Le dynamique également, phpbb a également fait le choix d'interdire le dynamique je crois.

AdoJeunZ - Forum Gothique - DoudOhax Blog d'un gothocouple

Genova

Chef du projet FSB

Age : 22 ans
Messages : 14506
Inscrit : 16 Septembre 2004

27 Décembre 2006, 13:16

Tous les forums en fait :/ Bah pas le choix, qui dit dynamique, dit deconnexion potentielle. je pourrai filtrer les URL en empéchant de mettre deconnexion= ou logout= dedans, mais ca ne serais que déplacer un problème qui pourrait resurgir, donc je vais bloquer. Je vais sortir un fixe, et je sortirai probablement une 1.0.8 à la rentrée scolaire ou en fin de semaine, a voir.

Cause Im as free as a bird now, And this bird you can not change. - Freebird - Lynyrd Skynyrd
There's someone in my head but it's not me. - Brain damage - Pink Floyd
I said baby, you know Im gonna leave you. - Babe I'm gonna leave you - Led Zeppelin
Father ? yes son, I want to kill you - The end - The Doors

Ohax

Volcan

Age : 21 ans
Messages : 1944
Inscrit : 22 Juin 2005

27 Décembre 2006, 13:23

Je pense qu'il y a d'autres applications bien plus intéressantes que la déconnexion pour quelqu'un d'averti.

Merci bien genova

.

Ps : Oublie pas FSB2 hein :mdr:

AdoJeunZ - Forum Gothique - DoudOhax Blog d'un gothocouple

Genova

Chef du projet FSB

Age : 22 ans
Messages : 14506
Inscrit : 16 Septembre 2004

27 Décembre 2006, 13:24

Pour FSB2 il est touché aussi probablement, ca sera corrigé pour la prochaine version. Faudra aussi que je corrige l'upload alors, pour rendre les liens des images "linkable".

Cause Im as free as a bird now, And this bird you can not change. - Freebird - Lynyrd Skynyrd
There's someone in my head but it's not me. - Brain damage - Pink Floyd
I said baby, you know Im gonna leave you. - Babe I'm gonna leave you - Led Zeppelin
Father ? yes son, I want to kill you - The end - The Doors

Ohax

Volcan

Age : 21 ans
Messages : 1944
Inscrit : 22 Juin 2005

27 Décembre 2006, 13:27

Ce problème ne risque pas de toucher la fonction upload ?

AdoJeunZ - Forum Gothique - DoudOhax Blog d'un gothocouple

B.Moncef

Equipe de support

Age : 17 ans
Messages : 1926
Inscrit : 10 Septembre 2005

27 Décembre 2006, 13:35

Une fonction comme ça ne suffirait pas genova ? enfin a peu pres ...
J'ai testé chez moi et ça fonctionne, mais je sais pas si on peut detourner

PHP (Sélectionner le code)

function parse_fsbcode_img($match)
{
	$img = $match[1];
	$parts = explode('.', $img);
	$extension = $parts[count($parts) - 1];

	$autorisees = array('jpg', 'jpeg', 'gif', 'png');
	if (in_array($extension, $autorisees))
		return ('<img src="' . $img . '" alt="" />');
	else
		return ('[img]Extension non autorisée[/img]');
}

Houram

Equipe des MODS

Age : 19 ans
Messages : 1243
Inscrit : 15 Juin 2005

27 Décembre 2006, 13:37

Si, mais comme le dit Genova, ça limite les images dynamiques.

[Urgent] Exploit FSB