Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Интернет » Web-программирование » Wordpress и безопасность

Модерирует : Cheery

articlebot (04-04-2016 21:29): WordPress  Версия для печати • ПодписатьсяДобавить в закладки

   

a1eksei1

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!
Недавно начал знакомство с Wordpress. Для пользователей там есть замечательная функция захвата изображений со сторонних сайтов. Но они не загружаются в хранилище файлов, а как и во многих других движках просто используется url изображения с другого сайта.
 
Так вот если администратор натыкается на php-скрипт под видом картинки, злоумышленник может с легкостью получить его куки и использовать для дальнейшего управления сайтом, и даже сменить пароль без ввода старого в профиле. Вопрос: кому оно надо? Или, может, в куках закодирован ip-адрес? Кто-нибудь в курсе?
Всего записей: 89 | Зарегистр. 26-05-2015 | Отправлено: 00:05 13-06-2015
Mavrikii

Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
a1eksei1
WordPress
 

Цитата:
php-скрипт под видом картинки, злоумышленник может с легкостью получить его куки и использовать для дальнейшего управления сайтом,

куки передаются только те, что выставлены данным сайтом. просто запрос за чему то на другом сайте не отдаст чужие куки - XSS работает на другом принципе http://ru.wikipedia.org/wiki/Межсайтовый_скриптинг
Всего записей: 15099 | Зарегистр. 20-09-2014 | Отправлено: 06:30 13-06-2015 | Исправлено: Mavrikii, 06:31 13-06-2015
a1eksei1

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii

Код:
<img src="http://site.com/shell.jpg" />

 
Тут shell.jpg сгенерирован php-файлом и переадресован на этот файл для маскировки под нужное разрешение. В этом файле есть такой код:

Код:
foreach($_COOKIE as $k=>$v) $cookie.=$k."=".$v."; "; file_put_contents('stoled_cookie.txt', $cookie);

 
Должно сработать. Как-то я проверял, работало.
Всего записей: 89 | Зарегистр. 26-05-2015 | Отправлено: 11:11 13-06-2015
Mavrikii

Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
a1eksei1

Цитата:
Должно сработать. Как-то я проверял, работало

не должно. если обращение идет к стороннему серверу, то браузер передаст только куки того сервера (если есть), а не сервера, на котором размещен html тег. для работы XSS нужен или баг в браузере, или возможность запустить свой javascript код с домена который взламываем - вот он сможет получить куки относящиеся к данному домену и передать их в виде параметров GET или POST запроса на сторонний сервер.
Всего записей: 15099 | Зарегистр. 20-09-2014 | Отправлено: 11:16 13-06-2015 | Исправлено: Mavrikii, 11:18 13-06-2015
a1eksei1

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хм, я был уверен что так и со стороннего сервера получится. Но все равно я проверю это.
 
Добавлено:
Но даже если это так, можно разместить шел на этом же хостинге и вполне возможно попасть на этот же сервер.
Всего записей: 89 | Зарегистр. 26-05-2015 | Отправлено: 11:20 13-06-2015
Mavrikii

Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
a1eksei1

Цитата:
можно разместить шел на этом же хостинге и вполне возможно попасть на этот же сервер

можно, если система защиты и проверки загруженных файлов корявая.
1) нужно отключать php и остальное для папок, куда что то заливается
2) если картинки, то их нужно пересжимать, к примеру, с помощью функций gd (ими же проверять, что действительно картинка)  
3) в зависимости от ситуации - не давать прямого доступа к папке с залитыми файлами
4) и тд и тп.
 
все вопросы по WP - в указанной выше теме.
Всего записей: 15099 | Зарегистр. 20-09-2014 | Отправлено: 11:27 13-06-2015
a1eksei1

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii
Получается нельзя использовать такие вставки на сайтах.
Так изображение не загружено на сервер и необработано спец. проверочной функцией, т.е. подсунуть можно все что угодно.
Всего записей: 89 | Зарегистр. 26-05-2015 | Отправлено: 11:37 13-06-2015
Mavrikii

Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
a1eksei1

Цитата:
Так изображение не загружено на сервер

Не тупите, перечитайте что было написано.
 
Теги с картинками с другого сайта вставлять можно, главное что в атрибутах тега не было JavaScript.
Шелл можно залить только если файлы заливаются к вам на сервер или есть дыра в скрипте.
Всего записей: 15099 | Зарегистр. 20-09-2014 | Отправлено: 11:52 13-06-2015
a1eksei1

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Проверить картинку в Wordpress можно только при добавлении новости - так? Сначала по этому адресу будет настоящая нормальная картинка, а после публикации на сайте останется инклуд с адресом стороннего url, который потом уже может оказаться адресом скрипта. Разве не так? =)
Всего записей: 89 | Зарегистр. 26-05-2015 | Отправлено: 12:16 13-06-2015
Mavrikii

Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
a1eksei1

Цитата:
оказаться адресом скрипта

Ну будет там php скрипт и что? Он будет запускаться на удалённом сервере, не на сервере с WP - что тут опасного? Проверять нужно то, что загружается к себе на сервер.
Всего записей: 15099 | Зарегистр. 20-09-2014 | Отправлено: 15:36 13-06-2015
a1eksei1

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Он будет запускаться на удалённом сервере

Есть же вероятность того что он будет не на удаленном сервере, а на этом же сервере хостинга.
 
Добавлено:
Что-то не работает с другого ip. А раньше вроде работало.
Похоже, я перепутал.
Спасибо за ответы.
Всего записей: 89 | Зарегистр. 26-05-2015 | Отправлено: 18:21 13-06-2015
Mavrikii

Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
a1eksei1

Цитата:
а на этом же сервере хостинга

и что? это уже дело настроек безопасности хостинга.
а куки привязаны к домену, а не серверу хостинга.
Всего записей: 15099 | Зарегистр. 20-09-2014 | Отправлено: 20:45 13-06-2015
Sergpro77

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пару секретов, как сохранить сайт на Wordpress от атак хакеров и шпионских программ.
Три шага являются наиболее важными перед тем, как приступить к защите сайта. http://***.ua/bezopasnost-sajta-wordpress.html
Всего записей: 1 | Зарегистр. 04-04-2016 | Отправлено: 16:11 04-04-2016
   

Компьютерный форум Ru.Board » Интернет » Web-программирование » Wordpress и безопасность
articlebot (04-04-2016 21:29): WordPress


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru