مرجع پارسی MyBB
[برای 1.6] رفع باگ امنیتی POST XSS در نسخه 1.6.12 - نسخه‌ی قابل چاپ

+- مرجع پارسی MyBB (https://community.mybbiran.com)
+-- انجمن: آرشیو (https://community.mybbiran.com/forum-128.html)
+--- انجمن: آرشیو انجمن های قدیمی (https://community.mybbiran.com/forum-129.html)
+---- انجمن: مای بی بی نسخه 1.6 (https://community.mybbiran.com/forum-83.html)
+----- انجمن: آموزش ها (https://community.mybbiran.com/forum-84.html)
+------ انجمن: امنیت (https://community.mybbiran.com/forum-111.html)
+------ موضوع: [برای 1.6] رفع باگ امنیتی POST XSS در نسخه 1.6.12 (/thread-15739.html)

رفع باگ امنیتی POST XSS در نسخه 1.6.12 - Amin IB - ۱۳۹۲/۱۱/۲۰

سلام

همونطور که چند روز پیش هم یکی از دوستان اعلام کردند باگ جدیدی در نسخه 1.6.12 مای بی بی پیدا شده این باگ از نوع باگ های XSS به اسم POST XSS هست که باهاش فایل search.php مای بی بی مورد حمله قرار میگیره !

[تصویر: xss_mybb-0day-660x330.png]


برای رفع این باگ باید وارد پنل مدیریتی بشید و در قسمت پیکربندی Search System رو انتخاب کنید و Search Type رو از standard به Full text تغییر بدید

فعلا این راه برای رفع این باگ پیشنهاد شده با وجود این باگ احتمالا به زودی نسخه 1.6.13 هم منتشر خواهد شد فعلا اعلام نشده این باگ در نسخه های قبلی وجود داره یا نه ولی به نظر من بهتره این تنظیم رو انجام بدید

اگر اطلاعات بیشتری پیدا کردم که همینجا قرار میدم

منبع

RE: رفع باگ امنیتی POST XSS در نسخه 1.6.12 - Amin IB - ۱۳۹۲/۱۱/۲۱

بالا باش
دوستان این باگ رو جدی بگیرید خود xss به تنهایی خطر خیلی بالایی ندارد و تو درجه بندی جزو باگ های با خطر متوسط هست ولی این باگ قابل توسعه می باشد و میشه از طریق فایل search.php کارهایی مثل inject انجام داد که در این صورت خطر بسیار بالایی دارد

RE: رفع باگ امنیتی POST XSS در نسخه 1.6.12 - MR.XpR - ۱۳۹۲/۱۱/۲۱

درود این بار اولی نیست که یکی از نسخه های MYBB آسیب پذیری XSS میده .

در رابطه با خطر باید بگیم بله خطرناکه چند هفته پیش از این آسیب پذیری با خبر شدیم .

با توجه به اینکه نرم افزار تحت وب آسیب پذیر انجمن ساز هست و کاربران و مدیران از مطالب بازدید میکنند خطر سرقت کوکی زیاد هست .

با استفاده از اون میشه کوکی های مدیر رو دزدید که در نهایت با Session مدیر کنترل مدیریت انجمن به دست هکر گرفته میشه .

قابل به ذکر هست این آسیب پذیری را بر روی یکی از سایتهای هکری داخلی تست کردیم و نتیجه مثبت داد . kh s t :d

راههای مقابله بزودی در تاپیک زیر اعلام میشه :

http://community.mybbiran.com/thread-13980.html