Техническая поддержка форумов vBulletin
  форум vBSupport.ru > vBulletin > vBulletin 3.8.x > Made in vBSupport.org 3.8

Cross-site Scripting (XSS) Attack

Register Меню vBsupport Изображения Files Manager О рекламе Today's Posts Search
  • Родная гавань
  • Блок РКН снят
  • Premoderation
  • For English speaking users
  • Каталог Фрилансеров
  • If you want to buy some product or script
  • Администраторам
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже:
Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
 
Page 1 of 3 1 23
 
 
 
WEBCAT
Простоузер
Default Cross-site Scripting (XSS) Attack
1
Когда админ отдыхает или, даже, находится на сайте, он и не догадывается, что его воблочку круглые сутки грызут десятки хрумеров от злоумышленников.
Не, конечно, среди админов есть продвинутые, которые догадываются о том, что сайт соседа пал от рук злоумышленника. Но, так это тот сайт, а у сайта админа движок «Вобла» - хрен возьмёшь хрумером.

Для остальных админов эта тема о том, как минимизировать или, даже, полностью исключить вред от XSS атак на сайт. Суть способа защиты сайта от XSS атак, описание которого находится ниже, состоит в том, чтобы в строке запроса динамического URL разрешить использование только переменных сайта.
В начале необходимо определиться, где находятся файлы форума. Как правило, они находятся в каталоге forum, а в корне сайта будет находиться индексный файл с динамическим URL (index.php).

Открываем файл .htaccess, который находится в корне сайта, если файл отсутствует, то его нужно будет создать. В файле .htaccess создаём правило. В случае с индексным файлом в корне сайта возможны два варианта:

1) В URL есть только название файла (как здесь).
HTML Code:
## XSS attack
RewriteEngine  on
RewriteBase    /~quux/
RewriteCond %{QUERY_STRING}   ^([A-Za-z0-9]+)(.*)$
RewriteRule (.*)  / [F]
Эта правило означает, что, если в адресе будет присутствовать знак «?», после которого будет строка из любого сочетания букв и цифр, то сервер выдаст ошибку 403.

2) В URL присутствует строка запроса, которая состоит из переменных, положим, «langid» и «styleid»
HTML Code:
## XSS attack
RewriteEngine  on
RewriteBase    /~quux/
RewriteCond %{QUERY_STRING}  !^ (styleid|langid) =([0-9]+)$
RewriteCond %{QUERY_STRING}  !^styleid=([0-9]+)&langid=([0-9]+)$
RewriteCond %{QUERY_STRING}   ^([A-Za-z0-9]+)(.*)$
RewriteRule (.*)  / [F]
Эта правило означает, что в случае отсутствия переменных «langid, styleid» с любым цифровым значением в строке запроса и при наличии последней, сервер выдаст ошибку 403.
В случае, если на сайте присутствуют оба варианта для индексного файла, то в файл .htaccess достаточно сделать запись со вторым правилом.
Поскольку, как правило, запросы злоумышленников иду от корня сайта, то можно считать, что ваш сайт уже защищён от XCC атак.

Тем не менее, нельзя исключить возможность, когда запрос злоумышленника будет сформирован в каталоге forum.
Открываем файл .htaccess, который находится в каталоге forum, если файл отсутствует, то его нужно будет создать. В файле .htaccess создаём правило.
HTML Code:
## XSS attack
RewriteEngine  on
RewriteBase    /~quux/
RewriteCond %{QUERY_STRING}  !^(do|order)=([a-z&]+)(.*)$
RewriteCond %{QUERY_STRING}  !^(p|t|f)=([0-9]+)(.*)$
RewriteCond %{QUERY_STRING}   ^([A-Za-z0-9]+)(.*)$
RewriteRule (.*)   / [F]
Эта правило означает, что в случае отсутствия переменных «p, t, f, do” в начале строки запроса и при наличии последней, сервер выдаст ошибку 403.

Если на вашем сайте имеются другие переменные, то создайте своё правило по образу и подобию приведённому выше.
Last edited by WEBCAT : 09-29-2017 at 05:15 PM.
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
Luvilla
Гость
Default
Имхо, это всё оооочень сомнительно
 
 
WEBCAT
Простоузер
Default
0
Quote:
Originally Posted by Luvilla View Post
Имхо, это всё оооочень сомнительно
http://vbsupport.ru/forum/showthread.php?t=52713
 
 
kerk
k0t
 
kerk's Avatar
Default
0
Quote:
RewriteCond %{QUERY_STRING} !^(p|t|f)=([0-9]+)(.*)$
кроме p=xx; t=xx; f=yy есть еще postid=xx; threadid=xx; forumid=yy
а так же, куча других скриптов (от хаков), в которых используются свои пары ключ=>значение в запросе
 
 
Smalesh
В Черном списке
Default
0
Quote:
Originally Posted by Luvilla View Post
Имхо, это всё оооочень сомнительно
Не только твое имхо. Кто-то пытается изобрести naxsi, пример для WP
 
 
Luvilla
Гость
Default
Quote:
Originally Posted by WEBCAT View Post
http://vbsupport.ru/forum/showthread.php?t=52713
и что?
у меня аналогичная собака стоит уже несколько лет и прекрасно справляется с дурными ботами и школохацкерами
у "собаки" принцип совершенно другой: она ловит "стоп-слова" из указанного списка
 
 
WEBCAT
Простоузер
Default
0
Quote:
Originally Posted by kerk View Post
postid=xx; threadid=xx; forumid=yy
Пример адреса с такими переменными.
Quote:
Originally Posted by kerk View Post
а так же, куча других скриптов (от хаков), в которых используются свои пары ключ=>значение в запросе
Вот, тоже думал, что в скриптах форума будет куча переменных, а оказалось хватило пальцев одной руки, что бы их посчитать.

WEBCAT добавил 01-30-2017 в 09:24 AM
Quote:
Originally Posted by Luvilla View Post
у меня аналогичная собака стоит уже несколько лет и прекрасно справляется с дурными ботами и школохацкерами
Тоже имеется на сайте похожий PHP скрипт.
Но задался вопросом, зачем их ловить на сайте, когда можно запретить использование своих переменных (не вобловских) на сайте. Запретить ещё до PHP скриптов форума.
Last edited by WEBCAT : 01-30-2017 at 10:24 AM. Reason: Добавлено сообщение
 
 
artscripts
Эксперт
 
artscripts's Avatar
Default
0
Quote:
Originally Posted by WEBCAT View Post
Вот, тоже думал, что в скриптах форума будет куча переменных, а оказалось хватило пальцев одной руки, что бы их посчитать.
Причем тут скрипты форума, речь о скриптах хаков.
 
 
WEBCAT
Простоузер
Default
0
В правило для каталога forum добавлены переменные и один URL
HTML Code:
RewriteEngine  on
RewriteBase    /~quux/
RewriteCond %{REQUEST_URI}   !^/forum/forum.php$
RewriteCond %{QUERY_STRING}  !^(do|order|fag)=([a-z&]+)(.*)$
RewriteCond %{QUERY_STRING}  !^(p|t|f|attachmentid)=([0-9]+)(.*)$
RewriteCond %{QUERY_STRING}   ^([A-Za-z0-9]+)(.*)$
RewriteRule (.*)   / [F]
 
 
AleX
Гость
Default
@WEBCAT, fag? Может быть речь идёт о "tag"? Кстати, есть же ещё u=%UserId%.
 
Page 1 of 3 1 23

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is Off



All times are GMT +4. The time now is 07:07 AM.

Contact Us - vBSupport.ru - Privacy Policy - Top

Powered by vBulletin® Version 3.0.7
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.