MyBBDepo - Türkiyenin MyBB Deposu Forumuna Hoşgeldiniz
Eğer sitemize yaptığınız ilk ziyaretiniz ise, lütfen öncelikle Forum Kurallarını okuyunuz. Forumumuzda bilgi alışverişinde bulunabilmeniz için Kayıt olmalısınız. Üye olmayanlar forumumuzdan yararlanamazlar.
Eğer zaten kayıtlı kullanıcı iseniz, lütfen kullanıcı adınız ve şifreniz ile, Giriş yapınız. (Sitemize üyelik ücretsizdir).
Hashtag avatar
Konuyu Oyla:
  • Derecelendirme: 0/5 - 0 oy
  • 1
  • 2
  • 3
  • 4
  • 5

Derecelendirme: 0/5 - 0 oy

MYBB 1.8.1 XSS AÇIĞI BİLDİRİMİ.


Sponsor Reklam

Çevrimdışı -Andromeda-
 Tarih: 12-11-2014, Saat:21:52
#9
(11-11-2014, Saat:18:51)Machine Adlı Kullanıcıdan Alıntı: Merhaba,

Bahsi geçen XSS açığı, kapatıldı arkadaşlar. Eğer kodları incelediyseniz eğer, tids=1 değerini görmektesiniz ve subject yazan kısımda ise yoruma ne yazılacağı belirtilmiş. Yani id 1 olan bir konu yok ise kod fıstır veya istediğiniz kadar id yazın oraya eğer mybb güvenlik önlemlerinden id tagını kaldırmayı ve seo kurulumunu yaptıysanız kod boşa çıkacaktır.

1 - Sitenize üye olmayan birisi bu sözde açıktan sisteme giremez, mybb'nin giriş yap hatasını alır.

2- Sisteme üye oldu, bu sadece yorum yapar arkadaşlar başka birşey yapmaz sisteminizde.

XSS 'den birinin sisteme girebilmesi için html izninin verilmiş olması gerekir. %90'nızın forumundada html izni kapalı geliyor ve hatta 1.8 sürümünde filtre sistemi getirilerek xss açığını yine duvara toslamasını sağlanmıştır.

Spam sistemi ve filtreleme sistemi çok daha detaylandırıldı artık mybb'de öyle ufak kod ile hacklenebilecek bir sistem değil artık mybb. Siz sunucunuzdan korkun sisteminizden değil. Eğer sunucunuzda açık var ise çok rahat sisteminize gireceklerdir ama sunucunuz sağlamsa ve mybb'nin gerekli güvenlik önlemlerini aldıysanız sıkıntı yok devam edin.


Ayrıca,

Raporu Gönder
Bu İçeriği Yöneticilere Rapor Et
Bu içerik ya mevcut değil ya da rapor edilmesi mümkün değil.

bu hatayı vermesinin sebebi şablonlara bağlı olmasından kaynakldıır. Report.php dosyası şablonlarla çalışmaktadır yani şablonsuz açarsanız boş yazıdan başka birşey değildir. Bir konuya girip rapor et dediğiniz popup olarak bu seçenekler çıkacaktır ve rapor edeceğiniz mesaj yok ise bu içerik mevcut değildir diyecektir.

Eğer var ise rapor nedenini soracaktır. Siz report.php dosyasına hiçbir yorum id ve url'si bildirmezsiniz haliyle sistem diyecek ki böyle bir konu yok arkadaşım ne yapmamı bekliyorsun diyecektir size bu bir açık değildir,sistemin getirdiği sorgudur.

(10-11-2014, Saat:13:47)Hashtag Adlı Kullanıcıdan Alıntı: Yani siteadi.com/report.php girildiğinde:
Kod:
Raporu Gönder
Bu İçeriği Yöneticilere Rapor Et
Bu içerik ya mevcut değil ya da rapor edilmesi mümkün değil.
yazıyorsa xss var,

Kod:
Belirtilen Yorum Forumumuzda Mevcut Değil.
yazıyorsa xss yok.

nasıl kapatabilirim şimdiden yardımnız için teşekkürler.

İki cümleye iyice bakın, aynı şeyi söylemektedeler. Bu içerik mevcut değil ! Göz kırpma Lütfen biraz mantık yürütün. 2 gün bu bahsi geçen açığı yokladım fakat elimde kalan sadece report.php dosyası oldu Açık Ağızlı Gülümseme

Bahsettiğiniz iki durum farklı olmasının sebebi çeviri değişikliğidir. Bir önceki sürümle bir sonra ki sürümde dil dosyaları haliyle değişmiştir. Farkettiyseniz biz 1.8 sürümünde A'dan Z'ye dil dosyalarını komple değiştirdik ve sağlam,düzgün bir Türkçe kullanımı yaptık.

#Ayrıca mybb.com ekibinide bu durumu bildirdim ve ilgileneceklerini söylediler. Kolay gelsin,iyi forumlar.

yani korkulacak bir durum yok öyle mi Gülümseme ayrıca benim sistem mi bozuk genel bir hata mı var bilemedim A kategorisinin izinler ayarından üye grubuna yeni yorumları moderasyona al diyip izinleri kaydediyorum ama tekrar baktığımda o özellik aktif olmamış görünüyor :/
Bunu Beğenenler:

Çevrimdışı Machine
 Tarih: 14-11-2014, Saat:16:21
#10
(12-11-2014, Saat:21:52)-Andromeda- Adlı Kullanıcıdan Alıntı: yani korkulacak bir durum yok öyle mi Gülümseme ayrıca benim sistem mi bozuk genel bir hata mı var bilemedim A kategorisinin izinler ayarından üye grubuna yeni yorumları moderasyona al diyip izinleri kaydediyorum ama tekrar baktığımda o özellik aktif olmamış görünüyor :/

Evet, korkulacak bir durum yok. Mybb.com ekibine durumu bildirdiğimi söylemiştim ve 1.8.2 güvenlik paketiyle bu hatalı kodlamada giderilmiştir.

Kod:
http://blog.mybb.com/2014/11/13/mybb-1-8-2-released-security-release/

İyi forumlar.
Bunu Beğenenler: -Andromeda- , Hashtag

Çevrimdışı -Andromeda-
 Tarih: 14-11-2014, Saat:22:13
#11
1.8.2 güncellemesi ile düzeltmişler öyle yazıyor sql injection açığını ve xss açığını kapatmışlar güncelleme dosyalarını ftp ye atın kurtulursunuz Gülümseme
Bunu Beğenenler:

Çevrimdışı Hashtag
 Tarih: 15-11-2014, Saat:02:07
#12
teşekkür ederim arkadaşım. report.php nin xss ile alakalı olmadığını sonradan farkettim.

hatanın çözümüne sevindim, küçük bir hataydı zaten.
Bunu Beğenenler:

 


Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
  Mybb Modern v1 Teması Ücretsiz 2021 [Mybb Seo Uyumlu Tema] GaMeKiNq 1 1,374 29-01-2021, Saat:20:52
Son Yorum: EmreKarakaya
  MYBB FORUM KONU MESAJ BASLIGI SORUNU YARDIM ? consort 2 2,693 23-09-2019, Saat:19:11
Son Yorum: EmreKarakaya
Onay [1.8] Mybb webseyrek Teması 1.8x Türkçe webseyrek 1 2,133 20-04-2018, Saat:19:47
Son Yorum: Machine
  Mybb sitemde Hata camoka1903 3 2,807 05-02-2017, Saat:14:36
Son Yorum: EmreKarakaya
  MyBB Bakım & Optimizasyon, Full Kurulum Hizmetleri + Para İadeli Phoenix 1 2,638 23-01-2017, Saat:21:57
Son Yorum: S.G



Konuyu Okuyanlar: 1 Ziyaretçi

istanbul escort - mecidiyeköy escort - şişli escort - ataköy escort - taksim escort - escort mecidiyeköy

sex hikaye - porno izle - türk ifşa - mecidiyeköy escort - seks hikaye - türk porno - escort bayan