Някой може да ти открадне кукито с xss и да промени настройките.

Виж какво прави примерния exploit от един от отборите

\u0022\u003e\u003cimg src=a onerror=\u0022alert(\u0027Hi Johnfound\u0027)\u0022\u003e\u003c\u0022

Това не би трябвало да има значние. Проблемите с ника трябва да са 2: 1) допуснат е такъв ник 2) json интерпретрация уникод в никовете, виж https://github.com/expressjs/express/issues/3268

Ами това, че е допуснат такъв ник е съзнателно. Защото смятам, че кода трябва да не допуска XSS при произволни данни на потребителя. Тоест в момента има бъг, който ще го оправя и вече няма да има бъг. А ако бях ограничил дължините на никовете, съответно бъга пак щеше да си го има, но никога нямаше да бъде оправен.

Ок!

Има още няколко проблеми. Да продължаваме?

Колега sisu johnfound не е много силен в сигурността. Регистрации с username = password са позволени.

Другарю хакер, да бяхте направили състезание по deface, примерно който смени логото на форума с две кози с преплетени шии и с надпис Г&Г отдолу получава безплатна екскурзия за двама до романтичното село Туче (неизвестно къде, баш хакерско) с правото да спи в модерен хангар на открито и да пипне най-най-най-тайнствения хакерски колайдер на света, ако дари 100 фалшиви лева в биткойни може да си отвинти кое да е винтче или ако не е с две леви ръце да си отреже парче винкел за спомен.

sisu

Ок!

Има още няколко проблеми. Да продължаваме?

Да, разбира се.

[url=<img onerror=alert(1337) src=fff Assembly is hard

Този бъг е малко по-неясен за мен.

Имаш 1 байт overflow някъде в freshlib/data/bbcode.asm Някъде около .end_of_attr2

Notes:

It looks like what happens is that it uses the gap buffer in the following way:

processed ..... gap ......... unprocessed

When url=<first [bsecond/b is processed, this seems to be the intermediate state

<a href="'escaped <'first ..... gap ........ <first... bsecond/b

and after sanitization and closing you get

<a href="'http://escaped"> .... gap .... <first... bsecond/b

At this point it continues looping through <first but it doesn't do any sanitization until it finds and decides to move the gap to start of [ so end up with <a href="'http://escaped"><first ..... gap ...... [bsecond/b

OK

I think the issue is this:

when it jumps to end_of_attr1, it would actually consume the characters by moving the gap one to the end. this is ok because it happens only when it sees an ]. Everything before this is processed and html-encoded when it sees [ or \x00, it would not move the include <... into the gap and only start processing input after the <, so the < doesn't get html-encoded. that's when it jumps to end_of_attr2 I guess a fix would be to keep the current to-be-processed index the same, or at least it seems to solve the issue.

има 1 байт който не е санитизиран и това позволява xss

Има също друг проблем с bbcode.

Дори да го забраниш, настройката е само визуална. Пак могат да се изпращат заявки в bb формат.

Така, в момента първият бъг би трябвало да е оправен.

johnfound

Така, в момента първият бъг би трябвало да е оправен.

maybe not?

sisu

johnfound

Така, в момента първият бъг би трябвало да е оправен.

maybe not?

Е сега вече е оправен. Дай пак пинг.

Сигурен ли е сега тоя форум или е хакнат

Има още разни проблеми, ще продължим през седмицата и може би уикенда

Golden Gega

Сигурен ли е сега тоя форум или е хакнат

Хакнат е. Дебитната ти карта вероятно е празна.

Демек жената е по-успешен хакер от няколко отбора хакери...

sisu

[url=<img onerror=alert(1337) src=fff Assembly is hard

Интересното е, че точно този бъг работеше и за BBCode и за MiniMag форматирането. Но по различни причини.

Но сега като че ли е оправен.

Какво става тука ве има повече бъгове от кози в обора на Рабин

\u0022\u003e\u003cimg src=a onerror=\u0022alert(\u0027Hi Johnfound\u0027)\u0022\u003e\u003c\u0022

Някой може да ти открадне кукито с xss и да промени настройките.

Виж какво прави примерния exploit от един от отборите

С XSS не може да се открадне кукито, защото то е HttpOnly. Или аз пак не знам нещо?