Witajcie
Mam zaimplementowany, na kilku stronach Ckeditor tudzież Fckeditor i ostatnio zauważyłem że Google wysłało info o ręcznych działaniach względem tych stron.
Okazało się, że czy to w katalogu "img/imgeditor" czy "obrazki/edytor" znalazły się setki plików z jakimś rosyjskim badziewiem.
W jaki sposób mogło się to tam przedostać? max prawa dostępu jakie mam to 755
Do tego jest to edytor nie widoczny i nikt oficjalnie nie ma pojęcia, że istnieje podstrona do logowania się (md5) w panelu administracyjnym do zarządzania treścią.
Gdzie może być w tym wszystkim luka?
Pełna wersja: [PHP]Ckeditor luka w bezpieczeństwie
Plik wgraj.php linia 666 - zmień 0 na 1 
A tak na serio, podaj może link na początek.
A tak na serio, podaj może link na początek.
Cytat(markuz @ 8.01.2016, 20:23:59 ) 
A tak na serio, podaj może link na początek.
savoir.com.pl
Po pierwsze, FCKeditor a CKEditor to dwie różne aplikacje (CKEditor jest następcą FCKeditor'a).
Po drugie - to są aplikacje w całości w JavaScript, bez elementu backendu serwerowego, więc tag
Lukę możesz mieć w menedżerze plików (jeśli taki masz dołączony do strony), a może po prostu ktoś wysyła formularz na hostessę http://savoir.com.pl/formularz/hostessa.php
Po drugie - to są aplikacje w całości w JavaScript, bez elementu backendu serwerowego, więc tag
Kod
[PHP]
nie bardzo tu pasuje.Lukę możesz mieć w menedżerze plików (jeśli taki masz dołączony do strony), a może po prostu ktoś wysyła formularz na hostessę http://savoir.com.pl/formularz/hostessa.php
Cytat(vokiel @ 10.01.2016, 00:29:56 )
Po pierwsze, FCKeditor a CKEditor to dwie różne aplikacje (CKEditor jest następcą FCKeditor'a).
Po drugie - to są aplikacje w całości w JavaScript, bez elementu backendu serwerowego, więc tag
Lukę możesz mieć w menedżerze plików (jeśli taki masz dołączony do strony), a może po prostu ktoś wysyła formularz na hostessę
Po drugie - to są aplikacje w całości w JavaScript, bez elementu backendu serwerowego, więc tag
Kod
[PHP]
nie bardzo tu pasuje.Lukę możesz mieć w menedżerze plików (jeśli taki masz dołączony do strony), a może po prostu ktoś wysyła formularz na hostessę
hehh dzięki za pojaśnienie, różnice między CK a FCK znałęm już kilka lat temu, ale może kogoś innego to nauczy (wymieniłem oba bo w kilku miejscach mam różne edytory i nastąpiła taka sama sytuacja), ale z tagiem PHP masz rację - zagalopowałem się.
Nie stosuje menadżera plików... hmmmm zstanawiam się właśnie w jaki sposób znalazłaby się luka w formularzu na hostessę, który nie ma żadnego powiązania z katalogami edytora, ale dzięki za swoje uwagi.
W tym formularzu, pomijając kompletny brak walidacji (daty itp.) - można wrzucić plik o dowolnym rozszerzeniu - ja np. wrzuciłem plik test.php
Co prawda nie znam jeszcze dokładnej ścieżki (nie mam aż tyle czasu żeby tego szukać), aczkolwiek jeżeli znajdziesz go u siebie na serwerze - to każdy może wywołać dowolny skrypt php bez twojej wiedzy.
Dodatkowo można przesłać dowolny skrypt javascript - w podsumowaniu przeglądarka automatycznie go zablokowała (wykryła, że jest wysłany za pomocą formularza) - ale być może w panelu zgłoszeń jeżeli wyskoczy Ci alert 1 - oznacza to, że osoba z zewnątrz może przechwycić np. twoje cookies (a w tym PHPSESSID - jeżeli jesteś zalogowany jako administrator to ktoś podmieni u siebie PHPSESSID i będzie zalogowany na twoje konto) i wysłać sobie na dany adres.
Co prawda nie znam jeszcze dokładnej ścieżki (nie mam aż tyle czasu żeby tego szukać), aczkolwiek jeżeli znajdziesz go u siebie na serwerze - to każdy może wywołać dowolny skrypt php bez twojej wiedzy.
Dodatkowo można przesłać dowolny skrypt javascript - w podsumowaniu przeglądarka automatycznie go zablokowała (wykryła, że jest wysłany za pomocą formularza) - ale być może w panelu zgłoszeń jeżeli wyskoczy Ci alert 1 - oznacza to, że osoba z zewnątrz może przechwycić np. twoje cookies (a w tym PHPSESSID - jeżeli jesteś zalogowany jako administrator to ktoś podmieni u siebie PHPSESSID i będzie zalogowany na twoje konto) i wysłać sobie na dany adres.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.