može li neko raditi XSS napade preko joomla?

Moderators: cicans, TheHacker

Locked
User avatar
predic
Joomla! Intern
Joomla! Intern
Posts: 88
Joined: Wed Jun 20, 2007 9:39 am
Location: Europe

može li neko raditi XSS napade preko joomla?

Post by predic » Sat Jun 23, 2007 10:10 am

najnoviji broj, jul, nemačkog PC magazina je posvećen hakerisanju. Na 36 strani nadjoh neke stvari pa mi treba objašnjenje i eventualna pomoć.
Cross Site Scripting (XSS napadi):
Mogućer je ubaciti html ili javaskript kod u vebsajt (to se najčešće dešava bankama kojima se u sajt ubaci iFrame, tako da korisnici misle da ubacuju svoje podatke u sajt banke a u zabludi su, ili se tamo uloguju nakon dobijenog emaila da treba da ponovo ubace podatke na sajt banke pa kliknu u link u svoj email a taj link nije stvarno sajt banke). Glavni krivac za mogućnost XSS napada je greška u PHP programiranju.
evo ga jedan primer:


ovaj kod se nalazi u mnogim tutorijalima.
-evo nekih njihovih rešenja, koja ja nemam pojma gde da ubacim na svoj joomla sajt:

1)proveriti na ovaj način: ubaciti "alert()Metod" javaskripta koji pokazuje "modales (e moj nemački)" prozor. Pritom se mora pomenuta php skripta pozvati na sledeći način:
script.php?name=
alert("Ertappt!")

naveli su i da se xss napad može izvesti i putem knjige utisaka/gostiju.

2)predloženo rešenje: sa htmlspecialchars(), php nudi funkciju preokretanja svih opasnih/pretećih posebnih znakova. Znači, kod se može poboljšati na sledeći način:


naveli su i nešto oko sql ali to nisam skapirao, ali evo ga rešenje pa ko kapira može negde da ubaci:
$stmt=mysqli_prepare($db, 'select *
FROM benutzer WHERE email=? AND
passwort=?');
mysqli_stmt_bind_param($stmt, 'ss', $_POST['email']
$_POST['passwort']);
mysqli_stmt_execute($stmt);

na nemackom benutzer znaci username/korisnik a passwort je u stvari password.

elem, meni treba objašnjenje da li takvi propusti postoje na joomla, i gde da ispravim pomenute programerske greške oko php-a tj u kojim sve fajlovima postoji pomenuti propust? mislim da sam u footeru video neki php echo...
Last edited by predic on Sat Jun 23, 2007 10:26 am, edited 1 time in total.

User avatar
BSD
Joomla! Ace
Joomla! Ace
Posts: 1948
Joined: Thu Aug 18, 2005 8:32 am
Location: Belgrade, Serbia
Contact:

Re: može li neko raditi XSS napade preko joomla?

Post by BSD » Sat Jun 23, 2007 7:01 pm

Haha..opusti se. Joomla! je moguce napasti XSS ali ne tako prostim. Samo redovno radi update Joomla! tj. uvek koristi najnoviju verziju i bices ugl. OK. U poslednje vreme je mnogo veca briga bezbednost samo PHP-a na serverima jer i pored toga sto ti napises dobar kod sam PHP ostavlja mogucnoti za odredjene XSS napade i ti tu nista ne mozes do da molis admina svog servera da azurira PHP. Sad jedno jezivo pitanje, koliko hostinga koristi azuriranu verziju PHP-a? Koja je verzija na vasem serveru?:D
Marko Milenović
Member of the Serbian Joomla! Translation Team
http://www.joomla-serbia.com/


Locked

Return to “Bezbednost”