12.04.2009, Saat: 21:15
MyBB Açıkları Tam Liste Halinde+Önlemleri-Ders:1
Evet arkadaşlar bu yazımda sizlerle şöyle biraz MyBB'nin ilk günlerinden yani eski sürümlerinde yaşanan ve var olan gerçek ıspatlanmış olan MyBB Açıklarından bahsetmek istiyorum..!
Öncelikle Kısa bir şekilde MyBB'de bulunan açıkların listesini belirtmekte fayda var.!
MyBB Açıkları Listesi :[/color]
- MyBulletin Board`un 1.2.2 ve öncesi versiyonlarını etkileyen SQL Enjeksiyon açığı.!
Elekt tarafından raporlanan açığa göre;
Sistemin kod'lanması esnasında CLIENT-IP modülünde yapılan kod'lama hataları nedeniyle sistem üzerinden uzaktan SQL sorguları çalıştırılabilmekte ve kullanıcı bilgilerine erişilebilmektedir,diye MyBB tarihine geçmiş açıklardan birisidir.(1.2 versiyonlarında Doğrulanmıştır.)
- Bazılarının uyduruk yazılarına göre ise MyBB forum sitelerinde upload açığı olduğunu yazan makaleler.(saçmalık diyorum)
- Başka bir saldırı şekline göre ise cookiler yani bu yöntemi kullanıp admin paneline sızma yöntemi.(1.2 versiyonlarında Doğrulanmıştır.)
- inc/datahandlers/pm.php dosyasına gönderilen girişler SQL sorgularında kullanılmadan önce doğru olarak filtrelenmemesi açıkları.(1.2 versiyonlarında Doğrulanmıştır.)
- uygulama herhangi bir onaylama kontrolü olmadan kullanıcıların HTTP istekleri ile bazı işlemler yapmalarına izin verebiliyor. Bu açık ile moderatörlerin kötü amaçlı bir siteyi ziyaret etmesini sağlayarak içerik silme gibi işlemler yapılabiliyor.(1.2 versiyonlarında Doğrulanmıştır.)
- MyBBRFI/LFI Açıkları ve (Shell Saldırısı);
Bidiginiz gibi bu saldırı yönteminin bulundu zamanda MyBB neredeyse çığır başlatıcaktı ki patlama yapmasına sebeb olan bu açık Shell Saldırısı olmuştur.
kısaca etkili olduğu sürümler;
MyBB 1.4.4 (Doğrulanmıştır.)
MyBB 1.4.5 (Doğrulanmıştır.)
MyBB 1.4.6 (Doğrulanmıştır.)
MyBB 1.4.7 (Doğrulanmıştır.)
Bundan sonra çıkan sürüm güncellemeleri yani ;
MyBB 1.4.8
MyBB 1.4.9
MyBB 1.4.10
MyBB 1.4.11 (Ufak bir açık olup tehlikesiz atlatılmıştır..)
MyBB 1.4.12
MyBB 1.4.13 (Şu anki son Sürümümüz)
Gibi Sürümler'de MyBB açıklarını tarihe gömerek bu saldırılara son vermiştir.
Hatırlarsanız ki MyBB kullanan arkadaşlarımız çok iyi bilirler bir ara destek sitelerinde sürekli sitem hack'lendi acil tardım gibi konular açarak çağrılarda bulunmuşlardı; işte perde arkasında kalan bu saldırının gerçek adı; (RFI/LFI Shell Saldırısı)'dır Diğer bi adını güvenlik için saklı tutuyorum.!
Peki nedir bu (RFI/LFI Shell Saldırısı)? ;
Hemen konuya dalıyorum MyBB'nin php kodlaması olduğunu hepimiz biliyoruz;işte bu kodlama esnasında değişken tanımlama olarak kullanılan kodlamalarda yanlışlıkla yapılan hatalardan kanaklanan açıktır.
Ciddi bir açık açıklaması örnekleri;
Remote File İnclude: (RFI)
Uzaktan dosya dahil etme anlamına gelen RFI da tanımlanmamış değişkenleri tanımlar ve açık varsa istenilen değere atanır... örnek kullanım yöntemi ise; shell(c99,r57 vs.vs.vs... ).
Local File İnclude (LFI)
Yeral serverdan dosya dahil etme anlamına gelen bu açık RFI kadar etkili değildir.
Önemli Açıklama;
VARIABLE : Değişken anlamına gelmektedir.Bizim açığımız da bu kodlamadan kaynaklanmaktadır.! Yani örneğin ; include ile bi dosya, sayfaya dahil edilirken komutun içinde değişkenler de bulunur (örnek bi değişken : $external).gibi Bu değişken aynı sayfada define edilmezse yani tanımlanmazsa burda açık var demektir ve saldırıla bilir...
Geldik İlk MyBB açıkları dersimizin sonuna arkadaşlar bu makalemde MyBB'de bulunan açıkları ilk günlerden itibaren aklımda kalanları paylaştım ;tabi bu demek değildir ki bu kadarmıydı yazıcakların hayır bu kadar değil daha önemlisi son günlerde yapmış olduğum araştımalarım ve denemelerim sonucunda ortaya çıkan extra bir saldırı yöntemi olan ref saldırısı çıkmış tabi bu saldırı yeni olan birşey değil MyBB aleminde 2008 yılarının ortalarında yaşanan saldırı yöntemi bunun için alınacak önlemleri resimli olarak anlattım siteyi takip edenler bilir, bilmiyenler varsa hemen alttaki link'ten konuya bakabilirler.
Ref saldırıları+Önlemleri <-tılklayın.
Şimdi konumuza son vermeden her zaman olduğu gibi konu ile ilgili soru veya sorunlarınızı yine bu konu alttından sorabilirsiniz..
Konu (07-01-2010 Tarih'inde) Tekrar Gücelleştirilmiştir.!