25.06.2017
  • Betrifft Modul
  •  
  • Meldezeitpunkt
  • Mittwoch, 01.02.2017 13:40
  • Letzte Änderung
  • Freitag, 03.03.2017 10:53
  • Status
  • Behoben
  • Text
  • Die aktuelle Version von lansuite beinhaltet eine triviale auszunutzende persistente Cross-Site Scripting Schwachstelle in dem "[url]" bb code. Der Code ist in allen Kommentar und Textfeldern standardmäßig aktiviert.

    Ein Angreifer kann mit der Schwachstelle die Cookies des Opfers auslesen und sich so auf der Website als diese person anmelden.

    Die Schwachstelle benötigt die Interaktion des Benutzers.


    Proof of Concept:


    [url=javascript:alert(document.cookie)]Kostenlose Steam Keys


    Versehentlich
    hier
    irgendwo
    drauf
    klicken
    [/url]

Kommentare
     
    KnoX
    03.02.2017 10:15
    Avatar
    Ja, das ist tatsächlich sehr unschön.

    Das ist die derzeitige RegExp:

    Code:
    $string = preg_replace('#\\[url=([^\\]]*)\\]([^[]*)\\[/url\\]#sUi', '<a target="_blank" href="\\1" rel="nofollow">\\2</a>', $string);


    Hast du eine gute Idee, wie man das sicherer bekommt?

    Evtl. url ganz ausbauen?

    Oder schauen, dass sie immer mit http beginnt? Dann würden aber relative Links nicht mehr gehen.

    http://www.orgapage.de - Infoseite für LanParty-Orgas
    [Equipmentliste | Strom-/Netzplanung | Intranetsysteme | Game- und Dienste-Servertipps]
    quote
    MaLuZ
    22.02.2017 08:24
    Moin,

    würde ketzerisch behaupten, dass normale Benutzer keine relativen Links benutzen.
    99% der normalen Use-Cases sind doch copy & paste

    Würde vorschlagen, das über eine Prokoll-Whitelist zu lösen.
    Entweder nur für Benutzer, oder auch für Administratoren.
    Um einen URI auseinanderzunehmen gibt es genügend fertige Regular Expressions.

    Damit könnte man auch die Nutzung von relativen Links (Protokoll leer) und JavaScript steuern
    quote
    KnoX
    03.03.2017 10:53
    Avatar
    URLs müssen nun mit http:// oder https:/// beginnen.

    Anders werden sie nicht mehr verlinkt. Ist nun auch direkt hier auf der Seite gefixt, wie man oben im Issue sieht.

    http://www.orgapage.de - Infoseite für LanParty-Orgas
    [Equipmentliste | Strom-/Netzplanung | Intranetsysteme | Game- und Dienste-Servertipps]
    quote
    3 Einträge
    • Hinweis:
      Bitte loggen dich ein, bevor du einen Kommentar verfasst
    • Hinweis:
      Es wurden keine Einträge gefunden