[Исправлено] О безопасности - acunetix

p4l1ch

#1 2015-10-09 19:29

Members
Thanked: 3 kez

Недавно смотрел логи и обнаружил некие странные каракули - сканили сайт через acunetix.

Скачал себе и решил сам посканить, посмотреть что скажет.

В целом вроде хорошо, но кое-что - мелочи нашлись.

rc.php - у меня включено сжатие css\js

и он на него массив начал слать - в итоге прямым текстом выдало - php ошибка в такой-то строке в файле /var/www/итд

сделал проверку строки - поменял

PHP

        
              if (isset($_GET['rc']) && preg_match('#^[\w\.\-]+\.(js|css)$#', $_GET['rc'], $mt))
{
    $src_uri = $cfg['cache_dir'] . '/static/' . $_GET['rc'];
    $content_type = $mt[1] == 'js' ? 'text/javascript' : 'text/css';
}

на

PHP

        
              if (isset($_GET['rc']) && is_string($_GET['rc']))
{
    if (preg_match('#^[\w\.\-]+\.(js|css)$#', $_GET['rc'], $mt)){
    $src_uri = $cfg['cache_dir'] . '/static/' . $_GET['rc'];
    $content_type = $mt[1] == 'js' ? 'text/javascript' : 'text/css';
    }
}

далее - system/function.php

при проверке других файлов, кажется он докопался к login и начал в него кидать массив, выдал ошибки function, в которых был путь к файлу на сервере

в 2 местах добавил проверку

~432 строка

PHP

        
              if ($maxlen>0)
{
    /* string test*/
    if (is_string($v)) {
    $v = mb_substr($v, 0, $maxlen);
    }
}

и нем же еще 1 проверка на строку

~471

PHP

        
          
          
              
              case 'TXT':
/* string test*/
    if (is_string($v))
    {
        $v = trim($v);
        if (mb_strpos($v, '<')===FALSE)
        {
            $pass = TRUE;
        }
    else
    {
        $defret = str_replace('<', '&lt;', $v);
    }
    }
    break;

            

        
      

и последнее на что оно сильно ругалось - xss в каноникале - что можно скрипт использовать

поменял в header.php

PHP

        
              $out['canonical_uri'] = empty($out['canonical_uri']) ? str_replace('&', '&amp;', $sys['canonical_url']) : $out['canonical_uri'];
$out['canonical_uri'] = strip_tags($out['canonical_uri']);
$out['canonical_uri'] = htmlentities($out['canonical_uri'], ENT_QUOTES, "UTF-8");
$out['canonical_uri'] = htmlspecialchars($out['canonical_uri'], ENT_QUOTES);

после этого ругаться перестал, вопрос к знающим людям, подскажите где тут ошибки

тк я не программист, а только учусь)

Bu gönderi Macik tarafından düzenlendi (2016-01-07 12:05, 9 yıllar önce)

Dr2005alex	#2 2015-10-10 12:26
Team Thanked: 58 kez	Не плохой вариант... есть что подправить ... будем смотреть.. WebKaa.ru - Cotonti Relax

Dayver	#3 2015-10-10 16:18
Team Thanked: 180 kez	В файле datas/config.php параметр $cfg['display_errors'] чему равен? Pavlo Tkachenko aka Dayver

p4l1ch	#4 2015-10-10 16:23
Members Thanked: 3 kez	FALSE

Dayver	#5 2015-10-10 16:26
Team Thanked: 180 kez	Поставьте TRUE и без всяких правок никаких путей ваш acunetix не получит. Pavlo Tkachenko aka Dayver

p4l1ch	#6 2015-10-10 16:35
Members Thanked: 3 kez	хм.. странно.. $cfg['display_errors'] = FALSE; // Display error messages. Switch it FALSE on production sites ща попробую на виртуалке

Dayver	#7 2015-10-10 21:31
Team Thanked: 180 kez	Пардон, все перепутал (трудная неделя - в голове уже каша) ... действительно когда FALSE ошибки не должны выводится .... а значит странно что у вас выводятся - значит настройки сервера не дают управлять выводом ошибок движку. Pavlo Tkachenko aka Dayver

Dayver

#7 2015-10-10 21:31

Team
Thanked: 180 kez

Пардон, все перепутал (трудная неделя - в голове уже каша) ... действительно когда FALSE ошибки не должны выводится .... а значит странно что у вас выводятся - значит настройки сервера не дают управлять выводом ошибок движку.

Pavlo Tkachenko aka Dayver

Macik

#8 2015-10-13 12:25

Team
Thanked: 181 kez

Создал тикет/

https://github.com/Cotonti/Cotonti/issues/1431

Добавлено 6 дней спустя:

Для информации:

как показывает проведенное на локальном сайте исследование (за наводку на Acunetix — автору топика отдельное спасибо) проблемных мест несколько больше, чем может показаться на первый взгляд.

Работа над фиксами идет.

Добавлено 3 дня спустя:

PHP

1
2
3
4

$out['canonical_uri'] = empty($out['canonical_uri']) ? str_replace('&', '&', $sys['canonical_url']) : $out['canonical_uri'];
$out['canonical_uri'] = strip_tags($out['canonical_uri']);
$out['canonical_uri'] = htmlentities($out['canonical_uri'], ENT_QUOTES, "UTF-8");
$out['canonical_uri'] = htmlspecialchars($out['canonical_uri'], ENT_QUOTES);

после этого ругаться перестал, вопрос к знающим людям, подскажите где тут ошибки

На вскидку по приведенному куску кода:
1. `htmlentities`, судя по документации, покрывает `htmlspecialchars` поэтому он тут лишний.
2. `htmlentities` в том виде, как он используется здесь отработает не правильно, т.к. повторно экранирует например & и получится &amp;
Надо четвертый параметр в `false` поставить.
3. По идее, при экранировании через `htmlentities` удаление тегов будет излишне, т.к. < > уже будут заменены.
4. Т.к. мы фильтруем не просто html а URI, то применять тут `htmlentities` нельзя. `htmlentities` выдает «entity» которые разрушат формат строки параметров, т.к. в них содержится символ «&».

Главный момент — фильтровать данные тут и таким образом не правильно. По двум причинам:
1. Здесь в `$out['canonical_uri']` у нас лежит уже готовый, сформированный URI. А XSS код приходит к нам в части path или query. Если говорить о формате данных — его определяет RFC3986 и все недопустимые символы должны быть кодированы в формат %xx (см.п. 2.1).
2. Далее... фильтровать данные, по хорошему, надо на «входе», в не на «выходе». Иначе имеем шанс, что их успеет использовать еще какой-либо плагин.
Корень проблемы в `$sys['canonical_url']`, в который пишется не фильтрованная строка `$_SERVER['REQUEST_URI']`. Для фильтрации URL применяется ф-я `rawurlencode()`, но здесь она в чистом виде нам не поможет, т.к. а). часть данных уже может быть закодирована; б). нам не надо кодировать некоторые специальные символы (/?&=[]).

Т.е. алгоритм примерно такой:
1. разбить `$_SERVER['REQUEST_URI']` на path и query
2. разбить path по `/`,
3. проверсти кодирование каждого элемента (сначала раскодировать, потом повотрно закодировать)
4. раскодировать query, преобразовать в массив (cot_parse_str)
5. собрать обратно массив параметров через http_build_query (тут есть нюансы — см. как реализовано внутри cot_url)
6. склеить обратно path и query, и вернуть в `$_SERVER['REQUEST_URI']`

Ну вот как-то так.

Добавлено 3 недели спустя:

Правки внесены. Тикет №1431 закрыт.

Кроме разных фиксов в `functions.php` добавлена функция `cot_url_sanitize()`, которая используется для фильтрации(кодирования) недопустимых символов в canonical URL.

https://github.com/macik
правильный хостинг — https://goo.gl/fjCa1F

Bu gönderi Macik tarafından düzenlendi (2015-11-19 10:16, 9 yıllar önce)