Qcontact

[jarhead76]

Non vorrei allarmare nessuno, ma ho letto, nell'elenco delle estensioni vulnerabili su joomla.org, il nome di "Qcontact".
In effetti, sperando in una smentita, il comp. non viene più aggiornato dal 2009.
Confido nello sviluppatore, che ogni tanto interviene qui sul forum, in quanto qcontact e uno dei migliori e più utilizzati form per joomla.
Grazie

[mau_develop]

  se vai nelle extensions c'è un'infinità di persone che scaricano e commentano senza nemmeno notarla qs cosa...se non l'ha patchata e la vuln è reale (molte sono stupidate) sono tutte persone che si portano problemi a casa.

sul sito di massimo c'è scritto:

This is an entirely free extension, we don't even include a link back to our site in component pages as many developers do. However time to keep developing and improving QContacts is not free and more and more features can be added only if we receive support from our users.
If you want to help us make this extension better, please send a donation through the button located at the top of the right column on this page.

... si vede che quel bottone lo hanno schiacciato in pochi

M.

[jarhead76]

In effetti...io per primo non l'ho mai notato (il pulsante), ma si può sempre rimediare!
Ciao mau e complimenti per il tuo sito.

[mau_develop]

beh, si può aspettare un'attimo a vedere se l'autore risponde, altrimenti basta guardare la vuln e non dovrebbe essere impossibile patcharla. non credo si offenda se si scrivono due righe nella sua creazione.
... adesso guardo un po'...

M.

[jarhead76]

Ok, grazie

[gmassi]

Salve, vedo adesso il post.

Va bene che QContacts non è aggiornato da più di un anno, ma il software non ha mica la scadenza, a lasciarlo lì non ci vengono i bachi da soli 

I criteri con cui viene compilata la lista ufficiale delle estensioni vulnerabili non li conosco, se leggete le avvertenze in testa al documento su Joomla.org c'è scritto che non viene fatta alcuna verifica nè garantita l'affidabilità delle segnalazioni, non viene neppure contattato lo sviluppatore (almeno a me non è successo). Oltre tutto non c'è alcun dettaglio sulla vulnerabilità, quindi a cosa serva quella lista oltre ad allarmare gli utenti non lo so.

Quello che ho fatto è ricontrollare le query sql nel componente e non mi risultano possibilità di sql injection. Se qualcuno ha elementi diversi mi può contattare e sarò disponibile per ogni correzione necessaria.

Massimo

[jarhead76]

grazie Gmassi  per i chiarimenti, in effetti nella lista non era indicato il tipo di vulnerabilità e speravo in una tua risposta per , come dire, rassicurarmi.
La tua estensione è eccezionale, continuerò ad usarla ancora ed ancora.
Ciao.

[mau_develop]

I criteri con cui viene compilata la lista ufficiale delle estensioni vulnerabili non li conosco, se leggete le avvertenze in testa al documento su Joomla.org c'è scritto che non viene fatta alcuna verifica nè garantita l'affidabilità delle segnalazioni, non viene neppure contattato lo sviluppatore (almeno a me non è successo). Oltre tutto non c'è alcun dettaglio sulla vulnerabilità, quindi a cosa serva quella lista oltre ad allarmare gli utenti non lo so.
---------------------------------------------------------------
...questo era un po' il mio "..ci sarebbe da discutere.."

Oltre tutto non c'è alcun dettaglio sulla vulnerabilità,
----------------------------------------------------------------------
che però trovi comodamente con google
http://www.google.com/search?q=qcontacts+vuln

Author: _mlk_
Published: 2010-07-13
# Version: 1.0.4 and previous
 

• Parameters vuls : Itemid  id catid

http://<server>/path/index.php?option=com_qcontacts&view=contact&id=1&Itemid=-541+union+select+concat(id,0x3a,name,0x3a,username,0x3a,password)+from+cms01_users--

...però siamo alla 1.0.6 o sbaglio?
cioè sto tipo è andato a cercare una vulnerabilità su una versione old di qcontact? Madonna mia! speriamo non le
cerchi pure su win3.1
..... e quì torniamo al paragrafetto di cui sopra

comunque di sicuro c'è una cosa: quella stringa non esploita proprio nulla.
Ora la installo e vedo di fare un bel debug di cosa succede iniettando quei parametri nela 1.0.6

poi un paio di considerazioni sull esploit:
=-541+union -> non ha senso
+from+cms01_users- -> questo addirittura dimostra che se si cambia il prefisso delle tabelle si mette in difficolta l'attaccante
e poi perchè cms01 ? ... perchè probabilmente si è esploitato la sua e basta...

M.

[gmassi]

Sì quello l'avevo trovato. Però Itemid è nella url perché serve a Joomla, ma non viene usato per creare alcuna query nel componente,  quindi dove la inietta tutta quella roba?

[mau_develop]

ciao massimo, ti ho mandato un pvt, magari è una scemenza, avevo 5 minuti....

M.

[tonicopi]

Ciao Mauro, ciao Massimo, scusate se riprendo questa vecchissima discussione, ma qcontacts è tuttora dichiarato pericoloso. Mi confermate che non ci sono problemi ad usarlo?
Grazie

[mau_develop]

http://packetstormsecurity.org/files/107650/joomlaqcontacts106-sql.txt

...è di dicembre 2011

M.

[tonicopi]

Molte grazie della segnalazione Mauro.
Ho cercato un altro po' e trovo che in gennaio di quest'anno la componente sarebbe stata in sostanza revisionata per metterla in sicurezza:
http://forum.joomla.org/viewtopic.php?p=2712396
Io ho installato quella versione di Qcontacts revisionata senza disinstallare quella che avevo in precedenza. L'installazione è avvenuta senza errori. I contatti che avevo creato in precedenza compaiono e tutto va. Sono a posto? Altra cosa, visto che tu sei uno specialista di queste cose. In quel post del forum di joomla.org suggeriscono di installare questo plugin:
http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/12731
del nostro bravo Marco Leoni. Io lo avevo già installato. Sarei già stato al riparo dalla vulnerabilità di Qcontacts?
Grazie mille 

[mau_develop]

In quel post del forum di joomla.org suggeriscono di installare questo plugin
-------------------------------------------------------------------------------------------------------
In teoria, perchè non ho mai provato a cercare di evadere i filtri, dovresti essere sicuro dalle injection anche in caso l'estensione sia vulnerabile alle sqlinj poichè perchè l'esploit abbia successo, la query con appeso la stringa, non deve causare errori che ne impediscano la corretta esecuzione, in pratica non puoi "uscire" o "entrare" dove vuoi.
A qs punto risulta difficile bypassarlo se non evadendo un filtro.
La vulnerabilità è comunque una questione di principio e di errata programmazione, anche se non portasse a nulla è comunque una situazione inattesa e non gestita.

Inoltre l'sqlinj è pericolosa per il furto di dati più che per la compromissione del sito.
E' in pratica una richiesta aggiuntiva di dati che metti nella query che a volte comprendono la pw di admin di cui te ne fai na beata cippa se non è semplice poichè è in md5.
Per questo motivo se il sito non contiene dati da proteggere e la pw è scelta bene lo ritengo un attacco abbastanza inutile se non conduce ad altro.... nel mio sito ad esempio, l'unica cosa del db che non si vede pubblicamente è appunto l'hash della pw ma avevo pensato di mostrarla quando veniva rilevato un attacco sql ...) così per caxeggiare ... tanto poi non ci credono che è il vero hash ...invece siiiii

M.