Domanda Caricamento Avatar

**Darth Master** · 07-10-2007, 14:37

Salve, nel mio forum, qui

http://www.rapiditaliashare.com/foru...ead.php?p=1931

dice che attraverso il caricamento avater può uppare una shell e defacciarmi il sito...

Lo può fare? Non c'è un blocco sicurezza o qualcosa?

**Sergio** · 07-10-2007, 14:55

Mhh... non dipende solo da un avatar, dipende dai permessi sul server e da altre cose.

Uno degli exploit più efficaci (provato personalmente da me

) era quello di un immagine caricata che rubava i cookies di chi vedeva l'immagine, se colui era l'amministratore ecco che Pof ! Anche tu potevi diventare amministratore impostanod i suo cookies sul tuo browser. Funzionava però solo su IE.... e te pareva...

Necessitava di un server ed alcuni file php caricati su di esso, poi i cookies venivano rubati ed inviati comodamente via email.

**Darth Master** · 07-10-2007, 15:05

beh io ho hosting windows..quindi i permessi lì sono moolto ristretti...per configurare vbulletin ho dovuto farlo manualmente...
cmq, io ho firefox..quindi du di me nn va?

**y2ksw** · 07-10-2007, 19:33

E' una questione interessante. Disabilitando l'upload dell'avatar tramite URL non corri alcun rischio. Per il resto credo - ma non so - che gli URL sono controllati.

**Darth Master** · 07-10-2007, 21:32

ecco grazie, potresti dirmi come si fa a disattivarlo?

Grazie

**Beho** · 08-10-2007, 12:05

Originariamente Scritto da Darth Master

beh io ho hosting windows..quindi i permessi lì sono moolto ristretti...per configurare vbulletin ho dovuto farlo manualmente...
cmq, io ho firefox..quindi du di me nn va?

in realtà hai proprio tutte le carte per essere attaccato.
Non importa che tu usi Firefox, ma che sia l'hacker ad usare IE, perchè attraverso delle sue lacune nell'interpretazione di script può aiutare l'hacker a prendere possesso del tuo nick e della tua password.
Questa procedura su forum che sfruttano PHPBB è abbastanza diffusa e d è anche documentata su youtube, se uno volesse farsi una cultura in merito.

Per VB i controlli sono molto più serrati e la cosa è difficilmente attuabile, ma non impossibile, del resto anche qui, qualche mese fa ci fu un attacco hacker andato in porto.

Chiudere tutte le vie di 'accesso' (disabilitare avatar, inserimento allegati, html) può essere una soluzione, ma poi gli utenti potrebbero ritrovarsi 'strettini' nel tuo forum.
La cosa migliore è chiudere per sicurezza, ma informarsi il prima possibile sulla validità dell'attacco per riaprire i servizi, volta per volta appena siete sicuri che siano siano a prova di hacker.

**y2ksw** · 10-10-2007, 14:22

Originariamente Scritto da Darth Master

ecco grazie, potresti dirmi come si fa a disattivarlo?

Grazie

Fai una ricerca di enter_url_to_image negli stili e rimuovi il codice HTML relativo. Ad esempio nel template modifyavatar:

Codice HTML:

    <if condition="$show['customavatar_url']">
    $vbphrase[enter_url_to_image]
     
    <div style="padding:$stylevar[formspacer]px">
     <input type="text" class="bginput" name="avatarurl" value="http://www." onchange="check_yes('avatar_yes')" size="45" dir="ltr" />
     <input type="hidden" name="MAX_FILE_SIZE" value="$inimaxattach" />
    </div>
    </if>
    
    <if condition="$show['customavatar_url']">$vbphrase[option_2_upload_image_from_computer]<else />$vbphrase[upload_image_from_computer]</if>

diventa:

Codice HTML:

    $vbphrase[upload_image_from_computer]

Ricordati di fare sempre un backup dello stile che stai modificando (scarica stile)

Discussione: Domanda Caricamento Avatar

Strumenti Discussione

Domanda Caricamento Avatar

Discussioni Simili

vBulletin 3.6.x salve a tutti con qualche domanda...

vBulletin 3.5.x Problema faccine - caricamento avatar e immagini - Utenti

vBulletin 3.6.x Problemi Avatar Link Esterni

Scusate la mia (Forse stupida) domanda...

vBulletin 3.0.x Upload avatar nella cartella CustomAvatar

Segnalibri

Segnalibri

Permessi di Scrittura