Ultima versione
Versione stabile:
3.1.5
 
Servizi
» Cerca
 
Cerca
Ricerca parole o frasi all’interno del sito.
 
Statistiche
Visite: 193556
 
Donazioni
Flatnuke e' software libero ed e' distribuito grautitamente. Se pensi che flatnuke ti sia stato in qualche modo di aiuto, puoi contribuire con una donazione libera:

Vuoi saperne di piu'?

 
Login





Non sei ancora registrato?
Registrati ora!
Recupera password
Choose your language:
deutsch english espa?ol fran?ais italiano portugu?s
 
Utenti
Persone on-line:
admins 0 amministratori
users 0 utenti
guests 2 ospiti
 
Netsons Ads

Forum



Benvenuto sconosciutoModifica profiloEntraAiuto 1106 utenti registrati

Navigazione:

[ Forum / Flatnuke / Sicurezza / Flatnuke 2.7.2 - Deface ]


UtenteMessaggio
ND47
ND47

0
10
Livello 0

levellevellevellevellevellevellevellevellevellevel
profile 
Domenica 09 Gennaio 2011 08:44:51

Flatnuke 2.7.2 - Deface

Fino a pochi giorni fa avevo un portale con flatnuke 2.7.2 (ultima versione) che è stato defacciato da un gruppo di persone

Se decido di rimettere su il portale (ho una copia di backup risalente al giorno prima del deface) con flatnuke ci sono modi di proteggere il mio portale da attacchi di questo tipo?

Flatnuke presenta molti bug...Perchè non vengono corretti? Oppure le toppe che voi metette hanno ancora piu bug? O il codice è cosi lungo ed implementato male che sarebbe impossibile riscriverlo o aggiustarlo?

----> In questo modo rendete vulnerabili tutti i portali Flatnuke <----

Grazie in anticipo per le eventuali risposte.
ZEBDEMON
ZEBDEMON

0
10
Livello 0

levellevellevellevellevellevellevellevellevellevel
profile home page
Jabber Skype
Mercoledi 12 Gennaio 2011 02:40:03

Re: Flatnuke 2.7.2 - Deface

ma sai quanti altri cms gratuiti esistono al mondo? :D

scherzi a parte, bisognerebbe vedere cosa hanno fatto per poter valutare e/o parlare di bug.. e le accuse che porti non sono leggere.. quindi beh.. c'è sempre la prima opzione.

--
..Stand Tall & Shake the Heavens..
ND47
ND47

0
10
Livello 0

levellevellevellevellevellevellevellevellevellevel
profile 
Giovedi 13 Gennaio 2011 11:36:59

Re: Flatnuke 2.7.2 - Deface

Tramite i log sono riuscito a capire che hanno fatto una scansione con Acunetix e in seguito (non so come) hanno deregistrato il mio nick da admin, ne hanno creato uno loro con livello 10 e hanno registrato di nuovo il mio come se nulla fosse successo...
Io dopo aver visto i log e aver trovato nella lista utenti un nuovo utente che non conoscevo con liv. 10 l' ho cancellato...dopo pochi giorni il mio portale defacciato....
Prego l' admin di questo foum di rispondere oltre che alle altre persone...
ND47
ND47

0
10
Livello 0

levellevellevellevellevellevellevellevellevellevel
profile 
Giovedi 13 Gennaio 2011 12:20:20

Re: Flatnuke 2.7.2 - Deface

Mi chiedo se potrebbe essere stato il fatto che ho applicato a tutti i file e le cartelle di fn permessi 777...
Potete dirmi precisamente quali file necessitano per forza di permessi 777?
perchè tutti gli altri li vorrei lasciare a 664 per avere maggiore sicurezza...
HELP!
ZEBDEMON
ZEBDEMON

0
10
Livello 0

levellevellevellevellevellevellevellevellevellevel
profile home page
Jabber Skype
Sabato 15 Gennaio 2011 01:01:32

Re: Flatnuke 2.7.2 - Deface

c'è scritto in giro nel forum e credo anche in qualche guida.. mi pare la cartella misc e basta..

--
..Stand Tall & Shake the Heavens..
disnet
disnet

0
10
Livello 0

levellevellevellevellevellevellevellevellevellevel
profile 
Martedi 18 Gennaio 2011 21:08:00

Re: Flatnuke 2.7.2 - Deface

ho googlato una ricerca... e guardate qui...
http://xek.kz/search.php

da quello che capisco è possibile far eseguire dei file.php residenti su altri server.

che ne dite ?


disnet
disnet

0
10
Livello 0

levellevellevellevellevellevellevellevellevellevel
profile 
Venerdi 21 Gennaio 2011 06:37:43

Re: Flatnuke 2.7.2 - Deface

Hoi!
buon tutto!!!

ho fatto nun po' di laforo di reverse eneneering...
tramite "Acutenix free" ho testato alcuni siti che gestisco per le vulnerabilità tramite xss (iniezione di codice ed esecuzione di codice tramite javascript infilato dentro le variabili get/post)

ci sono 6/7 variabili che rispondono a questa iniezione modificando il codice.
la versione free non consente di salvare ... scusate dovrei avere piu' tempo per lavorarci sopra e fare un report decente...
una di queste è la variabile "mod"... in quanto principalmente stampa qualunque cosa nel tag <TITLE>

in genere questo tipo di iniezioni non sono pericolose per questo cms pero' bisognerebbe rendere piu' sicuro...

un mio amico sistemista mi ha raccomandato di:
per la variabile MOD creare un array con tutte le possibli varianti (magari sfruttando la funzione crea mappa) e fare un controllo su tutte le possibilità (logicamente includendo anche i none_xxxxx!)
per le altre variabili
a) fare un str_replace () della stringa "onmausover" con ""
b) fare un str replace di tutti i caratteri diversi da terso e numeri con i corrispettivi scii
c) se la stringa immessa contiene una serie di parole spia come "onmausover" "onmausclick" o "javascr" restituire la stessa stringa vuota...

pensavo di implementare queste cose nel file php contenente il sanitize...

Che ne dite??
Disaster alias Flavio
aldoboccacci
aldoboccacci

0
10
Livello 10

levellevellevellevellevellevellevellevellevellevel
profile home page
Skype
Venerdi 21 Gennaio 2011 16:28:29

Re: Flatnuke 2.7.2 - Deface

Da questo punto di vista la versione 3 di Flatnuke sarà ancora più sicura. Per quanto riguarda l'attacco qui riportato ho letto il file di log che mi è stato mandato e, almeno apparentemente, non ho trovato attacchi riusciti a Flatnuke, quindi l'indagine su colpevole è ancora aperta! :)

--
risorse per flatnuke: http://www.aldoboccacci.it
aldoboccacci
aldoboccacci

0
10
Livello 10

levellevellevellevellevellevellevellevellevellevel
profile home page
Skype
Venerdi 21 Gennaio 2011 16:32:09

Re: Flatnuke 2.7.2 - Deface

ho googlato una ricerca... e guardate qui...
http://xek.kz/search.php

da quello che capisco è possibile far eseguire dei file.php residenti su altri server.

che ne dite ?



A quale vulnerabilità ti riferisci? Quelle presenti mi sembrano tutte chiuse da tempo (o me ne è sfuggita una?)

--
risorse per flatnuke: http://www.aldoboccacci.it
ZEBDEMON
ZEBDEMON

0
10
Livello 0

levellevellevellevellevellevellevellevellevellevel
profile home page
Jabber Skype
Venerdi 28 Gennaio 2011 19:00:19

Re: Flatnuke 2.7.2 - Deface

beh, se non ti serve puoi disabilitare il server2server (qualora non lo fosse di default) e credo risolvi il problema..

--
..Stand Tall & Shake the Heavens..


print

Freely inspired to Mollio template