Уразливість в Fusebox Framework

23:55 12.11.2008

У січні, 20.01.2008, я знайшов Cross-Site Scripting уразливість в системі Fusebox Framework. Про що найближчим часом сповіщу розробників системи.

XSS:

POST запит на сторінці http://site
<script>alert(document.cookie)</script>В полі: Search.

Уразливі потенційно всі версії Fusebox Framework.

Уразливість знайшов на офіційному сайті движка http://www.fusebox.org. Зараз уразливість на сайті не працює, тому що адміни поставили WAF dotDefender (в якому я також знаходив дірки, про що напишу окремо). Що не є оптимальним вибором, коли замість виправлення дірок ховаються за ВАФами. І після того як WAF буде обійдено, уразливості знову починають працювати.


2 відповідей на “Уразливість в Fusebox Framework”

  1. trovich каже:

    Це була вразливість конкретної реалізації пошуку.

    Як людина, що три роки робить сайти використовуючи фьюзбокс (як php, так і coldfusion), кажу тобі: фреймворк тут ні до чого. Він призначений для зовсім іншого рівня розробки і до конкретних функцій не має жодного відношення.

    Скоріше в ньому знаходять file inclusion дірки, але це інша розмова.

  2. MustLive каже:

    Це була вразливість конкретної реалізації пошуку.

    Я неодноразово знаходив дірки в пошуці на сайтах на Fusebox (і після того як знайшов на інших сайтах, я вирішив подивитися на офіційному сайті й знайшов ту саму дірку, що підтвердило мої підозри). Тобто ми маємо не вразливість однієї реалізації, а вразливість кількох реалізацій - це вже хронічна уразливість :-) . Тобто це є система, коли чимало сайтів на Fusebox мають ту саму дірку, що дозволяє говорити про уразливість у фреймворку.

    Скоріше в ньому знаходять file inclusion дірки

    З власних досліджень сайтів на різних фреймворках, а також з аналізу дірок опублікованих в багтреках, можу сказати, що не тільки RFI дірки трапляються в фреймворках. XSS та інші дірки також в них зустрічаються.

    Він призначений для зовсім іншого рівня розробки

    Хоча фреймворк і відрізняється від CMS, але чимало класів дірок є спільними для них обох. Зокрема XSS часто зустрічаються в фреймворках (що підтверджується даною XSS в Fusebox і тими дірками, що я знаходив в MODx, які були підтверджені розробниками системи). Реалізація може відрізнятися від оригіналу і в CMS, що використовується в якості CMF. Але наявність дірок типове і для CMS, і для CMF.

Leave a Reply

You must be logged in to post a comment.