Diskussion zu Mögliche XSS-Schwäche

Beitrag von **itst** » 10.09.2003 06:35

Hier könnt ihr eure Meinung zu Mögliche XSS-Schwäche abgeben.

In diesem Beitrag auf Bugtraq wird beschrieben, wie ein phpBB 2.0.x über den BBCode [url] fremden Code per Javascript ausführen kann.

Die phpBB Group ist informiert.

Beitrag von **Dennis63** » 10.09.2003 07:33

Hi

Ich habe gerade nen 2.0.3er Board getestet. Dort geht es nicht. Sobald ein " oder ein [Leer] Zeichen da ist, wird der BB-Code nicht erkannt.

Der Test: [url=http://www.google.de" onclick="alert('Hello World')]Hier ist JAVA-Script mit drinne (Nichts gefährliches, nur ein "hello world"!!![/url]

Grüße
Dennis

Beitrag von **Pyramide** » 10.09.2003 07:53

Ich dachte, den Bug gabs früher mal aber er wurde inzwischen behoben

Gast200921 · Beitrag von **Gast200921** » 10.09.2003 11:58

Hallo,

wir haben einen vorübergehenden Fix gefunden. Unsere Änderung im Code verhindert wirkungsvoll, daß das Javascript eingebunden werden kann, hat aber auch zur Folge, daß der beschreibende Text zu einer URL nicht immer angezeigt wird, sondern stattdessen die URL selbst. Funktionieren tut der Link so oder so und wir können vorübergehend mit dieser Lösung leben, bis die phpBB-Group etwas Offizielles vorstellt.

Usere Variante:

Code: Alles auswählen

---[ÖFFNE ./includes/bbcode.php]---

---[SUCHE]---
// [url=xxxx://www.phpbb.com]phpBB[/url] code..
$patterns[] = "#\[url=([\w]+?://.*?[^ \"\n\r\t<]*?)\](.*?)\[/url\]#ies";
$replacements[] = "stripslashes(".$bbcode_tpl['url3'].")";

---[ERSETZE DURCH]---
// [url=xxxx://www.phpbb.com]phpBB[/url] code..
// $patterns[] = "#\[url=([\w]+?://.*?[^ \"\n\r\t<]*?)\](.*?)\[/url\]#ies";
$patterns[] = "#\[url=([\w]+?://(([\w\-]+\.)*?[\w\-]+\.[a-z]{2,4}(:?[0-9]*?/[^ \"\n\r\t<]*)?))\](.*?)\[/url\]#ies";
$replacements[] = "stripslashes(".$bbcode_tpl['url3'].")";

Änderung wie immer auf eigene Gefahr, wenn Dein Server danach seine Festplatte formatiert, anstatt die Links in der von mir beschriebenen Art und Weise anzuzeigen, dann tut mir das herzlich leid.

Grüße,
cyberWolf

Beitrag von **codemonkey** » 10.09.2003 13:20

Mit 2.0.6 wird tatsächlich Java Script ausgeführt. Das ist gar nicht gut.
Hoffentlich reagiert die phpBB Group schnell genug.

blackm · Beitrag von **blackm** » 10.09.2003 15:38

Die bei denen die Loesung von cyberWolf nicht funktioniert sollte folgende Zeile nehmen:

Code: Alles auswählen

$patterns[] = "#\[url=([\w]+?://(([\w\-]+\.)*?[\w\-]+\.[a-z]{2,4}(:?[0-9]*?/[^  "\n\r\t<]*)?))\](.*?)\[/url\]#is";

by, Martin

blackm · Beitrag von **blackm** » 10.09.2003 17:30

blackm hat geschrieben:

Code: Alles auswählen

$patterns[] = "#\[url=([\w]+?://(([\w\-]+\.)*?[\w\-]+\.[a-z]{2,4}(:?[0-9]*?/[^  "\n\r\t<]*)?))\](.*?)\[/url\]#is";

Ich hab den regex nochmal angepasst, es gab mit einigen URL's Probleme

Code: Alles auswählen

$patterns[] = "#\[url=([\w]+?://[\w\-]+\.*?[\w\-]+\.[a-z]{2,4}:?[0-9]*?/?[^ "\n\r\t<]*?)\](.*?)\[/url\]#is";

by, Martin

Beitrag von **codemonkey** » 10.09.2003 17:34

Ich würde sagen, ihr wartet die paar Tage auf die phpBB Group und dann gibt es einen vernünftigen Fix.

Gast200921 · Beitrag von **Gast200921** » 10.09.2003 17:47

Ohne Zweifel ist es sinnvoll bei Erscheinen des offiziellen Patches diesen so bald wie möglich in sein Forum zu integrieren. Aber aus meiner Sicht spricht nichts dagegen, vorher schon auf eigene Faust [und eigenes Risiko] zu versuchen, sich dieses Javascriptes zu entledigen.

Sicherlich werde ich hinterher prüfen, ob ich meinen Code nicht doch besser durch den offiziellen Code ersetzen sollte.

Grüße,
cyberWolf

Beitrag von **Henne** » 10.09.2003 19:17

Nun ist es offiziell:

http://www.phpbb.com/phpBB/viewtopic.php?t=135116