Webboard

Pełna wersja: Czy można włączyć na forum CSRF?
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.
wersja skryptu MyBB: 1.8
adres forum:
na czym polega problem (screen, opis, komunikaty):

Czy można włączyć na forum CSRF?
Nie można!
To z innej strony :) Czy istnieją jakieś pluginy poprawiające bezpieczeństwo?
A w jakim celu ?
Co najwyżej możesz używac pluginów, które posiadają luki bezpieczeństwa i pozwalają na użycie CSRF ;)
W ogóle wiesz co to jest ?
Wiem co to jest CSRF :)

Chodzi mi o to, że myBB jest podatne na ataki typu CSRF czy SQL Injection i chiałbym się dowiedzieć czy istnieje jakiś prosty sposób na poprawę bezpieczeństwa.
MyBB jest jednym z bezpieczniejszych skryptów, korzystanie z pluginów, które mają takie luki, znacząco obniża bezpieczeństwo.
Więc nie ma możliwości takiego ataku, a jeżeli byłby, na pewno byłby fix na dniach.
Jeśli znasz jakieś prawdziwe luki zabezpieczeń (czyli nie fałszywe pozytywy z byle jakich skanerów) i umiesz opisać je w j. angielskim, możesz zgłosić je tutaj: http://community.mybb.com/forum-135.html

Jeśli będą dotyczyć samego skryptu MyBB i nie zostały zgłoszone wcześniej, możesz zostać wspomniany tutaj: http://www.mybb.com/get-involved/security/hall-of-fame/

Z kolei jeśli będą dotyczyć pluginów, zostaną one usunięte z oficjalnej bazy modów aż do chwili naprawy luk.

Możesz też wysłać mi PW i sprawdzę czy to faktycznie jest coś niebezpiecznego.
(03.10.2014, 12:27)Destroy666 napisał(a): [ -> ]Jeśli znasz jakieś prawdziwe luki zabezpieczeń (czyli nie fałszywe pozytywy z byle jakich skanerów)

Trochę ciężko się nie przejmować raportem ze skanera na 230 strony :)
Ale dzięki za wskazówki.
(03.10.2014, 12:49)grzesiekw napisał(a): [ -> ]Trochę ciężko się nie przejmować raportem ze skanera na 230 strony :)

No to już masz dowód na to, że ten skaner jest do czterech liter. Myśl logicznie - z taką ilością luk każde forum MyBB mogłoby zostać złamane w 10 minut przez przeciętnego 'hakera' z liceum z Nowej Wsi. Przeskanuj nim google, jestem ciekaw ile tam błędów Ci wskaże i czy też będziesz tak naiwny, że w nie uwierzysz... Już bardziej obawiałbym się ataku Yeti na mój dom niż przejmowałbym się jego wynikami.
Co do CSRF - jeżeli wiesz co to jest, popatrz w kod formularzy i poszukaj tokenu...
(03.10.2014, 22:23)lukasamd napisał(a): [ -> ]Co do CSRF - jeżeli wiesz co to jest, popatrz w kod formularzy i poszukaj tokenu...

Dla przykładu. W standardowej akcji logowania - tokenu brak.