Тема: Критический баг во всех версиях Wordpress

Здравствуйте. Недавно мы обнаружили скрытый потенциал XSS атаки. Мы разместили статью на http://evex.cc/?page_id=59 и назвали эту уязвимость XSS 2.0. Так вот. Баг заключается в том, что используя мало мальские знания html и голову на плечах атакующий может создать evil страницу содержащую злонамерный код. И спровоцировать человека имеющего доступ к сайту на котором установлен тот или иной энжин на посещение этой страницы, что приведет к плачевным последствиям. Самое главное то, что человек имеющий доступ к сайту ничего не заметит как в backgroud исполнятся команды взломщика. Это очень важно прислушайтесь! Еще нужно заметить очень важный момент. Код исполнится только в если админ или любой другой человек залогинен в админке этого энжина на который производится атака и у чела есть достаточно прав на создание/редактирования/исполнения. Следует добавить о том, с помощью данной баги можно задефейсить, добавить нового админа, залить шелл (сложнее), при желании можно сделать все что угодно если только у самого двигла есть на то функция, а у атакуемого чела права на это сайт/форум/гостевую книгу и любые другие движки, которые не проверяют рефереры. Скажу лишь, что больше 60-70 % всех двиглов в интернете подвержены такой атаке.
Смотрите статью вобщем там более полно изложена суть уязвимости. Адиос.

2

Re: Критический баг во всех версиях Wordpress

интеремно.... а кто-то пробовал это на вкус??))..... надо поинтере6соваться что за....:|

~~ В жизни, как в грамматике: исключений больше, чем правил!!!
~~ Мало установить wordpress, надо еще уметь с ним работать!!!

3

Re: Критический баг во всех версиях Wordpress

я тут прочел статью.... и пришел к тому, что ламер -- он и в Африке ламер!!!.....

если наложить столько условий сколько тут:

вы должны быть авторизированны на форуме, иначе ничего не получится.

в последней версии WordPress я добавил администратора pupkin_vasily с помощью автосабмита такого кода...

это сработает если ламер админ залогинется и будет заниматься не своей работой на вордпрессе, а гулять по сторонам и искать приключения на свою голову;)

------

это все тоже самое, что если отключить антивирус и зайти на ][/url]spam сайты, то можно с легкостью подружиться с вирусами))))) lol

~~ В жизни, как в грамматике: исключений больше, чем правил!!!
~~ Мало установить wordpress, надо еще уметь с ним работать!!!

4

Re: Критический баг во всех версиях Wordpress

Как гласит народная мудрость: "не обязательно пробовать дерьмо, чтобы знать, что оно невкусное". wink

Хочешь подробнее, смотри не там, куда зовут, а там, где тебя не ждут, например _http://forum.xakep.ru/m_1047682/tm.htm

PS ozono, поверь, это не смешно.

[signature]Есть ли смысл просить инструкцию по регулировке карбюратора, если не знаешь, в каком из багажников находится двигатель?[/signature]

5

Re: Критический баг во всех версиях Wordpress

Ю.Б. пишет:

PS ozono, поверь, это не смешно.

а по мне так можно и аккуратно жить...... пока ламер-юзер или же ламер-админ не сделают ошибки ни кто атаку не сделает!!!!.....

~~ В жизни, как в грамматике: исключений больше, чем правил!!!
~~ Мало установить wordpress, надо еще уметь с ним работать!!!

6

Re: Критический баг во всех версиях Wordpress

Можно, конечно. Но скажи честно, ты всегда тыкаешь "Выход" перед тем как посмотреть интересную для тебя ссылку?

Кстати, зайди в курилку. wink

[signature]Есть ли смысл просить инструкцию по регулировке карбюратора, если не знаешь, в каком из багажников находится двигатель?[/signature]

7

Re: Критический баг во всех версиях Wordpress

Ю.Б. пишет:

Можно, конечно. Но скажи честно, ты всегда тыкаешь "Выход" перед тем как посмотреть интересную для тебя ссылку?

если чесно... то я вообще ничего не делаю кроме вордпресса , кодга я уже в админке!!!!...... мне не до отвлеканий бывает!!!

~~ В жизни, как в грамматике: исключений больше, чем правил!!!
~~ Мало установить wordpress, надо еще уметь с ним работать!!!

Re: Критический баг во всех версиях Wordpress

Ю.Б. пишет:

Как гласит народная мудрость: "не обязательно пробовать дерьмо, чтобы знать, что оно невкусное". wink

Хочешь подробнее, смотри не там, куда зовут, а там, где тебя не ждут, например _http://forum.xakep.ru/m_1047682/tm.htm

PS ozono, поверь, это не смешно.

Ю.Б. совершенно с вами согласен. Только вот это наш человек там создал это публикование, но суть не в этом. Я поражаюсь человеку под нику "ozono" он говорит что он такой "не ламер", что никогда никуда не заходит когда находится в аккаунте. Не скажите мистер... Вы заходитли по моей ссылке? а? Молчите... так вот, а если бы я именно там создал этот evil страницу? Что скажите? А вы тут как раз под аккаунтом прилигевированным сидите, заходите по ссылкам с форума, это ничего?? Так что вы не парьте людям мозги про то что ламер не зайдет! Вы точно также можете разговаривать с человеком по icq и он кинет вам ссылку (даже знакомый человек, люди всякие бывают) и конечно тут вы считаете себя тоже правым. Не ведите себя так высокомерно. Вы даже не понимаете всю серьезность данной уязвимости! она работает на чатах, на форумах на любых движках где не проверяются эти самые рефереры. А вы все.... не ламер, не ламер... не стоит так о людях говорить и не стоит на себя с высока глядеть. Я бы посоветовал одним из первых создать патч для Wordpress, ведь всетаки это сайт русской поддержки... сами понимаете. И всетаки для разных людей двигло делалось, а не только "не для ламеров". Примите к сведению пожалуйста. Я ведь это не просто так написал, чттобы вы сказали "а, хрен с ним, я поумнее тех кто так делает"...

9

Re: Критический баг во всех версиях Wordpress

Crash 0verride пишет:

Вы заходитли по моей ссылке? а? Молчите...

Та Вы ж ему слово вставить не даете. smile

Crash 0verride пишет:

Вы точно также можете разговаривать с человеком по icq и он кинет вам ссылку ... она работает на чатах, на форумах на любых движках где не проверяются эти самые рефереры.

Истинная правда. Я знаю случай, когда именно так увели админский пароль форума.

Crash 0verride пишет:

Я ведь это не просто так написал, чттобы вы сказали "а, хрен с ним, я поумнее тех кто так делает"...

Да, спасибо, как говорится, что обратили наше внимание на эту проблему. Ну а кому пофиг, так и фиг с ним. smile

[signature]Есть ли смысл просить инструкцию по регулировке карбюратора, если не знаешь, в каком из багажников находится двигатель?[/signature]

10

Re: Критический баг во всех версиях Wordpress

Насколько я помню, то подобная уязвимость уже была выявлена в WordPress 2.2. Там тоже шла речь о проверке referer. Хотя я согласен, что все не так просто - как ни крути, а куча скриптов не проверяет ни уровень пользователя, ни входяшие параметры. По админке могу еще добавить что в WordPress'е используется check_admin_referer() - скажем приведенный код по добавлению нового пользователя не сработает, пока пользователь не будет залогинен (+ подтверждение) и у него будут права на такие действия.

Злой админ

11

Re: Критический баг во всех версиях Wordpress

Crash 0verride, у нас Ozono просто очень эмоциональный человек и он всегда в таком русле высказывается smile
Ну и что теперь делать?…

Едет вебмастер в поезде и слышит: <td></td> … <td></td> … <td></td>
шаблоны Темы

12 (14-01-2008 14:41:58 отредактировано ozono)

Re: Критический баг во всех версиях Wordpress

Crash 0verride пишет:

Вы заходитли по моей ссылке? а? Молчите... так вот, а если бы я именно там создал этот evil страницу? Что скажите? А вы тут как раз под аккаунтом прилигевированным сидите, заходите по ссылкам с форума, это ничего??

начнем с того, что ты будь повнимательнее когда читаешь мои посты.....

----
Ю.Б. написал:

Можно, конечно. Но скажи честно, ты всегда тыкаешь "Выход" перед тем как посмотреть интересную для тебя ссылку?

если чесно... то я вообще ничего не делаю кроме вордпресса , кодга я уже в админке!!!!...... мне не до отвлеканий бывает!!!
-------

знай что нужно понимать что за ссылку ты открываешь!!!!.... понятно что все может произойти.... но речь идет о вордпрессе а не о форуме в котором я сижу...

Так что знай и запомни --- когда я открыл вордпрес я глух и нем..... иначе у меня никак!!!!



Crash 0verride пишет:

Так что вы не парьте людям мозги про то что ламер не зайдет! Вы точно также можете разговаривать с человеком по icq и он кинет вам ссылку (даже знакомый человек, люди всякие бывают) и конечно тут вы считаете себя тоже правым.

ну вот что ты там бормочешь???.... я не сижу в аське.... и если бы сидел... я бы уж точно с вордпрессом закончил бы!!!!


Crash 0verride пишет:

Не ведите себя так высокомерно. Вы даже не понимаете всю серьезность данной уязвимости! она работает на чатах, на форумах на любых движках где не проверяются эти самые рефереры.

я понимаю серьезность... что теперь... мне сидеть и задумываться над такой глобальной проблемой???... везде есть выход из положения.....

Если я сказал, что ламер он и в Африке ламер -- это не говорит о моем высокомерии. Среди юзеров ламеров почти 70%.... вот из-за этого и наши беды. Не зная меня не суди!!!

Crash 0verride пишет:

А вы все.... не ламер, не ламер... не стоит так о людях говорить и не стоит на себя с высока глядеть. Я бы посоветовал одним из первых создать патч для Wordpress, ведь всетаки это сайт русской поддержки... сами понимаете. И всетаки для разных людей двигло делалось, а не только "не для ламеров".

вот когда я посмотрю на тебя с высока тогда и поговорим..... я пока не проверял насколько ты ламер)))) не в обиду!!!)))....

патчи будут тогда когда будет в них нужда!!!!


Crash 0verride пишет:

Я ведь это не просто так написал, что бы вы сказали "а, хрен с ним, я поумнее тех кто так делает"...

ты был близок к моим мыслям))))).... lol ..... не мучай себя... все будет хорошо!!)))

~~ В жизни, как в грамматике: исключений больше, чем правил!!!
~~ Мало установить wordpress, надо еще уметь с ним работать!!!

13

Re: Критический баг во всех версиях Wordpress

sonika пишет:

Crash 0verride, у нас Ozono просто очень эмоциональный человек и он всегда в таком русле высказывается smile
Ну и что теперь делать?…

sonika, он еще новенький.... и мой стиль вряд ли поймет)))))

~~ В жизни, как в грамматике: исключений больше, чем правил!!!
~~ Мало установить wordpress, надо еще уметь с ним работать!!!

14

Re: Критический баг во всех версиях Wordpress

А вот, кстати и решение smile. Просто подсократил параною от Юрия. wink

<?php
/*
Plugin Name: paranoja-401
Plugin URI: http://blog.portal.khakrov.ua/
Description: Параноидальная проверка пароля для входа в админку
Author: Yuri 'Bela' Belotitski
Version: 0.2 beta @ 14.01.2008
Author URI: http://www.portal.khakrov.ua/
*/

function htauth() {
    if (strpos($_SERVER['REQUEST_URI'], 'wp-admin') === false ) return;
    if (($_POST or $_GET) and (strpos($_SERVER['HTTP_REFERER'],get_bloginfo('home')) === false)) die ('Achtung! XSS attack!');
}

add_action('init', 'htauth');
?>

Проверяю, вроде отлавливает все сторонние посты и геты.

Злой админ

15 (14-01-2008 15:00:30 отредактировано ozono)

Re: Критический баг во всех версиях Wordpress

function htauth() {
    if (strpos($_SERVER['REQUEST_URI'], 'wp-admin') === false ) return;
    if (($_POST or $_GET) and (strpos($_SERVER['HTTP_REFERER'],get_bloginfo('home')) === false)) die ('Achtung! XSS attack!');
}

тоже самое сдела и я...... ))).. а этого хватит???

просто я еще ее не внедрял......

~~ В жизни, как в грамматике: исключений больше, чем правил!!!
~~ Мало установить wordpress, надо еще уметь с ним работать!!!

16

Re: Критический баг во всех версиях Wordpress

все мне кажеться.... заработало.... !!! только вот все равно что-то сердце неспокойное....

~~ В жизни, как в грамматике: исключений больше, чем правил!!!
~~ Мало установить wordpress, надо еще уметь с ним работать!!!

17

Re: Критический баг во всех версиях Wordpress

Епта, ozono, ты любой топик зафлудишь…

Едет вебмастер в поезде и слышит: <td></td> … <td></td> … <td></td>
шаблоны Темы

18

Re: Критический баг во всех версиях Wordpress

sonika пишет:

Епта, ozono, ты любой топик зафлудишь…

я вообще-то это не занимаюсь.... просто задевают за живое))

~~ В жизни, как в грамматике: исключений больше, чем правил!!!
~~ Мало установить wordpress, надо еще уметь с ним работать!!!

19

Re: Критический баг во всех версиях Wordpress

Ozono говорит:

начнем с того, что ты будь повнимательнее когда читаешь мои посты.....

А давайте начнем с того, что никто вам пока не разрешал переходить на «Ты» и кроме того как гласит одна народная мудрость «Не говори мне что делать, и я не скажу куда тебе идти»

Ozono говорит:

ну вот что ты там бормочешь???.... я не сижу в аське.... и если бы сидел... я бы уж точно с вордпрессом закончил бы!!!!

Нда… Интересно, объясните, пожалуйста, как связаны ICQ и WordPress? Судя по вашей логике тогда те, кто пользуются MailАгентом вообще не должны пользоваться браузером.

Ozono говорит: 

понимаю серьезность... что теперь... мне сидеть и задумываться над такой глобальной проблемой???... везде есть выход из положения.....

Если я сказал, что ламер он и в Африке ламер -- это не говорит о моем высокомерии. Среди юзеров ламеров почти 70%.... вот из-за этого и наши беды. Не зная меня не суди!!!

Можете не седеть и не задумываться вас никто не заставляет, а что касается 70 процентов… Откуда такие цифры?

Ozono говорит:

он еще новенький.... и мой стиль вряд ли поймет)))))

Что же такого в вашем высоком штиле чего не может понять «Новенький» ?

20

Re: Критический баг во всех версиях Wordpress

Consigliori пишет:

Ozono говорит:

он еще новенький.... и мой стиль вряд ли поймет)))))

Что же такого в вашем высоком штиле чего не может понять «Новенький» ?

а ты кто???)) Crash 0verride = Consigliori или мне так кажеться??))) мне нравится быть в центре внимания.... продолжай lol;)

~~ В жизни, как в грамматике: исключений больше, чем правил!!!
~~ Мало установить wordpress, надо еще уметь с ним работать!!!

21 (15-01-2008 11:16:36 отредактировано Consigliori)

Re: Критический баг во всех версиях Wordpress

smile Когда кажется креститься надо....
А я не CrashOverride и помоему это довольно легко понять))
Насмешливый вы наш)) Как ответить на другое не нашлись?)

22

Re: Критический баг во всех версиях Wordpress

ну вот предстваь.... ответил я... затем вы затем опять я и опять вы..... это разве форум отношений????

меня интересует все что относится к вордпрес!!!!... можешь давай поговорим об этом!!...

только ламеры могут на меня обижаться))))))....  так что учись студент!!!!:lol:;)

~~ В жизни, как в грамматике: исключений больше, чем правил!!!
~~ Мало установить wordpress, надо еще уметь с ним работать!!!

23 (15-01-2008 13:05:57 отредактировано Crash 0verride)

Re: Критический баг во всех версиях Wordpress

ozono ты взял и зафлудил всю тему. Я не для для тебя создавал этот топик, вымысле не для твоих истерических припадков. Даже девушки так себя не ведут. тьфу на тебя))) Весельчак, тебе пора в цирк парень, а ты все сидишь наверно в своих проперданых штанишках и корчишь из себя непонятно кого. Центр внимая епт. Нашел тут кого учить. Ты бы сам лучше посмотрел на мои ответы. Я писал даже не конкретно о Wordpress, а обо всех двиглах затрагивая и Wordpress, а твое сопливые сопли сдесь никому не нужны. А ты тут сам превратил серьезный топик в какой-то балаган и все твердишь, что ты не ламер, а все "не ламеры" пользующиеся icq не могут сидеть параллельно в Wordpress. Выше я сказал, что ты зашел допустим по моей ссылке, но ты ведь не вышел из аккаунта! Или ты только под Вордпресс "не ламер"? ггг=)
--------------------------------------------------------------------------------------------------------------------------------
MAX приветствую! Хочу тебе сказать, что проверка производилась над Wordpress 2.3.2 поэтому я и говорю про все версии. Тот скрипт должен помочь. Так как нужна была проверка на рефереры и все=) И мы создавали именно новых пользователей. А про условия, которые должны быть соблюдены, вы и ozono уже говорили. Но ведь если сейчас не затрагивать Wordpress, то форум, который вы используете - PunBB тоже подвержен уязвимости, поэтому создав новый админский аккаунт после посещения какой-то ссылки администратором. А следствие может быть как раз проникновение уже и на сайт. Если в фруме, чате, гостевой книге или даже в каком-то пресловутом скрипте голосования будет присутствовать уязвимость-тут под угрозу поставится весь сайт. А если уже и хостер-идиот, то и соответственно все папки аккаунтов... вот так все плачевно.

24 (15-01-2008 14:27:48 отредактировано ozono)

Re: Критический баг во всех версиях Wordpress

думаю и для этого форума тоже возможно будет модифицировать function htauth() и поставить!!!.. да и у МАХ-а я думаю всегда есть бекап на черный день...

Crash 0verride, ну че ты так ....))) радуйся жизни.... я хочу тебе дать понять, что Ю.Б. задал вопрос а я ответил..... что ты так впрямь на иглах....

Мы все разные...... и делаем все поразному....)) Я открывал твой линк, но зная что кроме форума у меня ничего не открыто. Так как я не админ форума,  потому я знаю что вряд ли можно испортить кашу маслом!!!!!

Но согласись...  настолько все надо оставить запущенным чтоб заработать себе проблемы...... ведь столько условий надо наложить, чтоб серьезно повредить движок. Я согласен тема стоит внимания. Так давайте будем еще осторожнее и пусть каждый припасется функцией function htauth().....

не в обиду Crash 0verride...... я прямой человек но не злой.... и тут с кем-то сориться и портить настроение и отношение не собираюсь...... как минимум из-за уважения к друзьям,  коллегам и  МАХ-у.....

шерше ла фам)))... big_smile

~~ В жизни, как в грамматике: исключений больше, чем правил!!!
~~ Мало установить wordpress, надо еще уметь с ним работать!!!

25

Re: Критический баг во всех версиях Wordpress

Никто не думал, можно ли такую проверку в .htaccess перенести?

Злой админ