Mybb Hakkında Soru ve Sorunlarız, Yardım ve Destek için MybbDepo external Adresini Ziyaret Ediniz.
Sponsor Reklam

duyuru Güncel Duyurular!
Güncel MyBB Dökümanları.. Güncel + Orijinal MyBB Sürümleri..
bilgi mybb

Konuyu Oyla:
  • Derecelendirme: 5/5 - 1 oy
  • 1
  • 2
  • 3
  • 4
  • 5

Derecelendirme: 5/5 - 1 oy
[1.6] XSS Açığı
#1
Güvenlik 
Değerli mybb.com.tr yöneticisi ve üye arkadaşlar. Bir süre önce sohbet paneli üzerinden html şeklinde bir yönlendirme yapan xss kodu sayesinde sohbet paneline giren herkesi hack sayfasına yönlendiren bir olay hakkında konu açmıştım. bakınız

Şimdi aynı mevzunun diğer bir haliyle karşılaştım. Bugün sitem sabah 11 gibi hacklendi. Siteyi komple kaldırdım tabiikide hemen. Fakat ne database'de ne ftp dosyalarımda bir açık / hacking dosyası kodu bulamadım.

Uzun aramalardan sonra farkettimki, üyelerden birinin aldığı üyelik ismi bu bahsettiğim chat panelinde yapılanın aynı bir benzeri olarak üye ismine konularak alınmış.

Yani üye adı html kod ile alınmış bu sayede adam nereye girerse orası hack indexine dönüşüyor. Sonuç olarak bu adamın forumu nasıl hacklediğini geçte olsa tespit ettim.

Asıl sorum şudur, bu adam mybb maximum üye karakter limitini aştığı halde bu html kodu ile nasıl üyelik alabildi?

Sitem 10.000 tekil hitli büyük ve popüler bir forumdur. Bir çok detayında özen gösteririm güvenlik önlemlerini alırım. Bu forum bu şekilde hacklenebiliyorsa bir çok kişide aynı yönlemle rahatlıkla hacklenebilir. Ben şimdilik tüm üyelik alımlarımı admin onaylı yaparak kendimi güvene aldım.

Peki arkadaşlar bu adam nasıl xss kodu ile üyelik alabildi?
Ara
Cevapla
#2
Hocam geçmiş olsun eğer dediğiniz gibi ise tüm mybb siteler tehlikededir bu konu hakkında gerekli açıklama yapılır inşallah
Ara
Cevapla
#3
bence (kisisel düsüncem!), bu chatboxun yapilma amaci, hani bir chatbox olsunda acigi falan beni ilgilendirmez... gibi. 1 sorun herzaman dedigim gibi post key'dir, ikinciside kullanici oturumunun kontrol edilmemesidir..
Ara
Cevapla
#4
konumu iyi okursanız eğer chatbox olayı olmadığını göreceksiniz. üyelik ismi ile hackliyorlar. chatbox olayını geçmişten bir örnek verdim.
Ara
Cevapla
#5
pardon, member.php dosyasinda kontrol ediyordu bildigim kadariyla, etmiyorsa firebug gibi firefox eklentisi ile bu sinir ortadan kaldirilabilir... ben dosyayi inceleyip, konu altindan belirtirim..
Ara
Cevapla
#6
Hocam bu %99.9 eklenti açığıdır, mybb'nin kendisinde şuan için bilinen bir açık yoktur. Bence eklentilerinizi gözden geçirin, üyelikleri admin onaylı yapmanız birşey değiştirmez, siz açık teşkil eden eklentiyi kullandığınız sürece aynı kişi farklı bir yoldan tekrar giriş yapabilecektir..
Bağış yapmak ister misin?
[email protected]
Ara
Cevapla
#7
SG şunu sormak istiyorum.Ben şu eklentileri kullanıyorum.Bu forumdaki genel bakış eklentisi,google seo 1.6.1, Stop spam forum, kayıtta gelişmiş güvenlik sorusu, gelişmiş reklam alanı eklnetisi, G33 resim boyutlandırıcı(Böyle bir şeydi.) Bu eklentilerde açık mevcut mu?
Ara
Cevapla

Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
Güvenlik [1.6] Sitemde Güvenlik açığı var ? SeaMs 8 8,135 17.03.2012, Saat: 18:24
Son Yorum: xpserkan



Konuyu Okuyanlar: 1 Ziyaretçi
© 2009-2017 MyBB.Com.TR Internet Hizmetleri, MyBBGrup.Com Alt Kuruluşudur.

Web sitemiz dahilindeki tüm sayfalar, bu sayfaları gösteren tüm ekranlar ve içerdiği her türlü bilgi ve bağlı materyal, yerleşim ve öğeler, (çözüm ortaklarının logoları ve yasal hakları hariç) MyBB.Com.TR'ye aittir.
Yazılı izin olmaksızın ve kaynak belirtilmedikçe, (Kaynak göstererek alıntı yapılabilir.) kopyalanamaz ya da yayınlanamaz. MyBB.Com.TR sitesindeki içerik-ler 5070 sayılı kanun kapsamında dijital zaman damgasıyla ve DMCA tarafından korunmaktadır.
Tüm hakları, (insafiyet ile) saklıdır.
teknoloji forumu , tekel haberleri , haber , vds kiralama , webmaster blog , izmir tabela , Karşıyaka botox