هاست لینوکس

آخرین بسته‌ی MyBB: نسخه‌ی 1.8.27 MyBB منتشر شد
کتاب MyBB: کامل‌ترین کتاب راهنمای انجمن‌ساز MyBB از صفر تا صد منتشر شد

مرجع پارسی MyBB آرشیو آرشیو انجمن های قدیمی مای بی بی نسخه 1.6 آموزش ها امنیت
[برای 1.6] رفع باگ امنیتی POST XSS در نسخه 1.6.12

امتیاز موضوع:
  • 0 رأی - میانگین امتیازات: 0
  • 1
  • 2
  • 3
  • 4
  • 5
حالت موضوعی
[برای 1.6] رفع باگ امنیتی POST XSS در نسخه 1.6.12
Amin IB آفلاین
تخصص DDOS Protection
***
کاربر سایت
ارسال‌ها: 58 موضوع‌ها: 3 تاریخ عضویت: ۸ بهمن ۱۳۹۰ اعتبار: 0
#1
Exclamation  ۱۳۹۲/۱۱/۲۰، ۰۴:۰۴:۰۷ صبح (آخرین ویرایش: ۱۳۹۲/۱۱/۲۰، ۰۴:۱۲:۱۹ صبح، توسط Amin IB.)
سلام

همونطور که چند روز پیش هم یکی از دوستان اعلام کردند باگ جدیدی در نسخه 1.6.12 مای بی بی پیدا شده این باگ از نوع باگ های XSS به اسم POST XSS هست که باهاش فایل search.php مای بی بی مورد حمله قرار میگیره !

[تصویر: xss_mybb-0day-660x330.png]


برای رفع این باگ باید وارد پنل مدیریتی بشید و در قسمت پیکربندی Search System رو انتخاب کنید و Search Type رو از standard به Full text تغییر بدید

فعلا این راه برای رفع این باگ پیشنهاد شده با وجود این باگ احتمالا به زودی نسخه 1.6.13 هم منتشر خواهد شد فعلا اعلام نشده این باگ در نسخه های قبلی وجود داره یا نه ولی به نظر من بهتره این تنظیم رو انجام بدید

اگر اطلاعات بیشتری پیدا کردم که همینجا قرار میدم

منبع
ارسال‌ها
پاسخ
 سپاس شده توسطAm!r (۱۳۹۲/۱۱/۲۰، ۰۹:۲۸:۲۰ صبح) ، K@Z3M (۱۳۹۲/۱۱/۲۰، ۱۱:۵۸:۵۳ صبح) ، firstboy000 (۱۳۹۲/۱۱/۲۰، ۱۲:۴۳:۱۲ عصر) ، Amin Yaghubi (۱۳۹۲/۱۱/۲۰، ۱۲:۴۷:۰۹ عصر) ، Gh-Moradi (۱۳۹۲/۱۱/۲۰، ۱۴:۰۵:۵۱ عصر) ، Pars (۱۳۹۲/۱۱/۲۲، ۰۴:۳۳:۴۸ صبح) ، MR.XpR (۱۳۹۲/۱۲/۱، ۱۸:۴۴:۴۸ عصر) ، motorola30 (۱۳۹۳/۹/۲۱، ۰۰:۲۰:۰۹ صبح)
Amin IB آفلاین
تخصص DDOS Protection
***
کاربر سایت
ارسال‌ها: 58 موضوع‌ها: 3 تاریخ عضویت: ۸ بهمن ۱۳۹۰ اعتبار: 0
#2
۱۳۹۲/۱۱/۲۱، ۱۱:۰۶:۱۶ صبح (آخرین ویرایش: ۱۳۹۲/۱۱/۲۱، ۱۱:۲۰:۱۰ صبح، توسط Amin IB.)
بالا باش
دوستان این باگ رو جدی بگیرید خود xss به تنهایی خطر خیلی بالایی ندارد و تو درجه بندی جزو باگ های با خطر متوسط هست ولی این باگ قابل توسعه می باشد و میشه از طریق فایل search.php کارهایی مثل inject انجام داد که در این صورت خطر بسیار بالایی دارد
F a r s i C h a t . Co
ارسال‌ها
پاسخ
 سپاس شده توسطfirstboy000 (۱۳۹۲/۱۱/۲۱، ۱۱:۱۰:۲۷ صبح) ، MR.XpR (۱۳۹۲/۱۱/۲۱، ۲۱:۱۸:۱۲ عصر) ، Pars (۱۳۹۲/۱۱/۲۲، ۰۴:۳۳:۴۷ صبح) ، Gh-Moradi (۱۳۹۲/۱۱/۲۲، ۰۵:۰۰:۴۹ صبح)
MR.XpR آفلاین
MR.XpR
***
ارسال‌ها: 48 موضوع‌ها: 3 تاریخ عضویت: ۲۹ ارديبهشت ۱۳۹۰ اعتبار: 7
#3
Wink  ۱۳۹۲/۱۱/۲۱، ۲۱:۰۹:۵۵ عصر (آخرین ویرایش: ۱۳۹۲/۱۱/۲۱، ۲۱:۱۹:۱۱ عصر، توسط MR.XpR.)
درود این بار اولی نیست که یکی از نسخه های MYBB آسیب پذیری XSS میده .

در رابطه با خطر باید بگیم بله خطرناکه چند هفته پیش از این آسیب پذیری با خبر شدیم .

با توجه به اینکه نرم افزار تحت وب آسیب پذیر انجمن ساز هست و کاربران و مدیران از مطالب بازدید میکنند خطر سرقت کوکی زیاد هست .

با استفاده از اون میشه کوکی های مدیر رو دزدید که در نهایت با Session مدیر کنترل مدیریت انجمن به دست هکر گرفته میشه .

قابل به ذکر هست این آسیب پذیری را بر روی یکی از سایتهای هکری داخلی تست کردیم و نتیجه مثبت داد . kh s t :d

راههای مقابله بزودی در تاپیک زیر اعلام میشه :

http://community.mybbiran.com/thread-13980.html
زندگی با امنیت زیباست .

مشاوره امنیتی رایگان برای انجمن mybb کاربران عزیز



contact : hosseinxpr@gmail.com
وب سایت ارسال‌ها
پاسخ
 سپاس شده توسطfirstboy000 (۱۳۹۲/۱۱/۲۱، ۲۱:۲۲:۵۲ عصر) ، Pars (۱۳۹۲/۱۱/۲۲، ۰۴:۳۳:۴۴ صبح) ، Gh-Moradi (۱۳۹۲/۱۱/۲۲، ۰۵:۰۰:۵۱ صبح) ، شماره مجازی (۱۴۰۱/۸/۲۶، ۰۱:۴۷:۱۴ صبح) ، گراف مسنجر (۱۴۰۱/۱۰/۳، ۰۴:۰۹:۴۹ صبح) ، چارتر ۴۲۴ (۱۴۰۲/۹/۱۲، ۱۵:۰۸:۵۱ عصر)


پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان