PDA

Zobacz pełną wersję : mosCE - uwaga na ciasteczka !!!



rkubera
28-06-2006, 15:47
Witam wszystkich. Mam pewne wątpliwości co do komponentu - edytora MosCE. Otóż chodzi o dodawanie/ edycję/usuwanie obrazów.
Okienko z obrazkami uruchamia się jako iframe. I to mnie poważnie zaniepokoiło. Okazuje się, że jak uruchomi się link:

http://twójserwis><cenzura>.php

To jeżeli na komputerze znajduje się jeszcze "nieprzeterminowane" ciasteczko admina/użytkowinka to można z niego dowolnie edytować/usuwać obrazy!!!.
Zatem przestoga, nie dodawajcie obrazów z kafejek :)

Przepraszam Cię za ocenzurowanie tej linijki. Informacja jest ważna i przestroga też. Ale linijka zawierała wprost instrukcję dla idiotów, którzy mogliby by np. Tobie za 5 minut zhackować w ten sposób serwis...

Rybik
28-06-2006, 17:33
kto edytowal ?
daj znac na wewnetrznym forum co i jak, moze warto ten plik zabezpieczyc tym glupim joomlowym zabezpieczeniem, wzbogacic o zabezpieczenie http_referer czy cus :/

rkubera
29-06-2006, 09:56
No i jak tu dyskutować nad czymś czego nie ma bo zostało wycięte.:D Ale nic, sprójuję. Otóż przeglądałem wczoraj jeszcze ten temat i co do samych ciasteczek to jednak pół biedy, bo w jakieś tam linijce kodu jakaś tam sesja się nawiązuje.
Zostaje jednak problem wolnego dostępu przez iframe, ponieważ w ten sposób użytkownik, któremu nie chcieliśmy dać uprawnień do edytora, może w pewnych okolicznościach zyskać kontrolę nad zasobami, do których miał nie mieć dostępu. Bez paniki, to zdarzy się tylko w pewnych okolicznościach :) ale dotyczy też pluginu do plików :( - tu też jest iframe, już nie będę podawać linku bo mi go i tak wytnie anonimowy moerator :D

Rybik - referer - to w miarę dobre wyjście ale najlepiej byłoby zrezygnować z iframe - zresztą na innym podforum właśnie gadaliśmy o tym a tu masz. No może jestem przewrażliwiony, ale referera da się "nadpisać"

Pozdrawiam,
Radek.

Rybik
29-06-2006, 12:02
sprawdz to na wersji 1.0.10, bo cos poprawiali, choc z changeloga nie wynika ze bezposrednio iframe'y ale wiele podobnych "podatnosci"