Back to top

Autore Topic: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5  (Letto 62363 volte)

Offline Rosario

  • Esploratore
  • **
  • Post: 55
  • Sesso: Maschio
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #40 il: 13 Gen 2008, 19:12:31 »
Per quanto ho potuto vedere, sperimentando sulla mia "pelle" l'attacco descritto in http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2008-01/msg00087.html, esso funziona bene con Firefox: infatti, crea un nuovo utente con poteri di amministratore su Joomla. IE 7 avvisa che "Per ragioni di sicurezza del computer, e' necessario aprire siti appartenenti ad aree di protezione diverse in finestre diverse". Cio' fa si' che si apra una nuova finestra di IE7 (non un tab), e cio' impedisce di agire come admin su Joomla. In altre parole, l'attacco fallisce.

L'attacco riesce con Firefox, anche se la pagina e' protetta con htaccess, poiche' e' sufficiente che un amministratore sia loggato.

Se l'attacco CSRF riesce, non e' colpa di Firefox. Un po' tutte le web application sono colpite dal CSRF.

Perche' abbia successo, tuttavia, richiedono una serie di coincidenze, che sono possibili, certo, ma con bassa probabilita'. In pratica, perche' il tutto funzioni, deve succede che:
1) l'amministratore sia loggato in Joomla
2) deve contemporaneamente navigare in siti con il codice dell'attacco
3) deve usare Firefox o IE < 7.0 (se qualcuno riesce anche con 7.0 me lo comunichi, anche in priv.)
4) deve aprire le due pagine (quella di amministrazione di Joomla e quella con il codice malevolo) in due tab nella stessa finestra.

La soluzione descritta in http://blog.phil-taylor.com/2008/01/05/using-prisim-to-administrate-joomla-safer/ (Progetto Prism) sembra essere un ottimo palliativo.

Ciao a tutti.
RR
Ros

Offline wosky

  • Abituale
  • ****
  • Post: 1056
  • Sesso: Maschio
  • Delfino curioso
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #41 il: 14 Gen 2008, 00:07:04 »
Se ho capito bene, si deve amministrare il proprio sito sotto il programma Prism??
Mi confermate?
Grazie



Offline Marco Carosio

  • Nuovo arrivato
  • *
  • Post: 13
  • Sesso: Maschio
  • God is Read, unless declared Integer
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #42 il: 14 Gen 2008, 09:19:03 »
Sì, lo installi (è semplicissimo) e ti crea degli shortcut sul desktop che aprono la url di amministratore in una finestra separata (tra l'altro alto leggera).
Poi tutto continua come sempre. Io l'ho provato e mi trovo bene
All those moments will be lost in time, like tears in rain

Offline Artorius Castus

  • Appassionato
  • ***
  • Post: 238
  • Sesso: Maschio
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #43 il: 14 Gen 2008, 10:43:35 »
Sì, lo installi (è semplicissimo) e ti crea degli shortcut sul desktop che aprono la url di amministratore in una finestra separata (tra l'altro alto leggera).
Poi tutto continua come sempre. Io l'ho provato e mi trovo bene

Confermo è stupendo e penso che lo utilizzerò anche se risolvono il bug
Nulla è reale tutto è lecito.

Offline wosky

  • Abituale
  • ****
  • Post: 1056
  • Sesso: Maschio
  • Delfino curioso
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #44 il: 14 Gen 2008, 12:15:26 »
Grazie  ;)



Offline Cris_crok

  • Nuovo arrivato
  • *
  • Post: 36
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #45 il: 14 Gen 2008, 19:20:23 »

Offline cos

  • Abituale
  • ****
  • Post: 1873
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #46 il: 14 Gen 2008, 19:31:03 »
attenzione però

attendete la versione localizzata  ITA  noi siamo alla 13b

il sito ufficiale  org non ha mai parlato di B




Offline Cris_crok

  • Nuovo arrivato
  • *
  • Post: 36
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #47 il: 14 Gen 2008, 22:59:19 »
Posso chiedere in cosa differisce? a parte la lingua?

Offline cos

  • Abituale
  • ****
  • Post: 1873
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #48 il: 15 Gen 2008, 07:40:41 »
Posso chiedere in cosa differisce? a parte la lingua?

sarebbe da chiedere a vamba  !!

io non lo so

Offline double_d

  • Esploratore
  • **
  • Post: 69
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #49 il: 15 Gen 2008, 12:26:32 »
Volevo segnalare questo articolo su JoomlaShow:

http://www.joomlashow.it/news/joomla/rilasciata-joomla-1.0.14-rc1/
« Ultima modifica: 15 Gen 2008, 12:31:44 da double_d »
Inserite i vostri siti Joomla su http://www.joomlashow.it

Offline enric

  • Nuovo arrivato
  • *
  • Post: 4
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #50 il: 19 Gen 2008, 03:34:12 »
Ho un dubbio riguardo l'applicazione della patch.

Per applicarla senza problemi (a parte il backup completo) basta che sposto il file nella directory dove è installata joomla e unzippo la patch? In tal modo vengono sovrascritti tutti i file compresi nella patch e mantenuti inalterati quelli non contenuti?
Se per esempio ho vari templates nella cartella templates e vari componenti installati, li ritroverò comunque pari pari o la patch unzippata sovrascrive tutto l'ambaradan rastrellando praticamente le mie modifiche e portando il sito (non il database) ad una installazione base?

Grazie per eventuali risposte.

Offline Victor

  • Appassionato
  • ***
  • Post: 561
  • Sesso: Maschio
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #51 il: 19 Gen 2008, 12:19:18 »
salvo cose strane di questa versione, come le altre, basta sovrascrivere i file vecchi coni nuovi, unzippala in locale e controlla che file va a cambiare così stai più sicuro

ciao
Sono Victor, sono qui per fare le pulizie...

Gli MP non mi arrivano :-(

Offline enric

  • Nuovo arrivato
  • *
  • Post: 4
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #52 il: 20 Gen 2008, 03:18:10 »
Forse non mi sono spiegato bene.
Non volevo unzipparla in locale e poi andare a sovrascrivere file per file in remoto (son parecchi file e ho 3 siti da aggiornare)
ma mi chiedevo, se la carico e in remoto e la scompatto
nell'aprirsi andrà a sovrascrivere solo i file necessari lasciando intatti gli altri "aggiuntivi" (template moduli e componenti installati) oppure rischio che mi sovrascrive tutto portandomi i siti a una installazione "base"?

Offline Victor

  • Appassionato
  • ***
  • Post: 561
  • Sesso: Maschio
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #53 il: 20 Gen 2008, 12:50:09 »
anch'io non mi sono spiegato bene, unzippandola in locale vedi che file va a modificare, se vede che va modificare file che hai personalizzato ti regoli di conseguenza.
se non modifica file personalizzati allora la carichi zippata e poi la scoppantti direttamente dal server

ciao!
Sono Victor, sono qui per fare le pulizie...

Gli MP non mi arrivano :-(

Offline servrent

  • Esploratore
  • **
  • Post: 52
  • Sesso: Maschio
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #54 il: 20 Gen 2008, 13:54:06 »
Stavo pensando che si potrebbe cambiare il nome della cartella administrator in un altro nome di fantasia e rinominarla in administrator solo quando serve...

è una ****ata? SI lo è  ;D ho verificato che da problemi bisognerebbe modificare un pò di cose...
« Ultima modifica: 20 Gen 2008, 14:20:52 da servrent »
Marco S.
Servrent
www.servrent.it

Offline enric

  • Nuovo arrivato
  • *
  • Post: 4
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #55 il: 20 Gen 2008, 20:28:10 »
Ok grazie Victor
chi avesse esperienze in merito è bene accetto :)

Offline vitaminadhl

  • Nuovo arrivato
  • *
  • Post: 14
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #56 il: 21 Gen 2008, 01:04:03 »
<che triste storia....

Speriamo se ne venga a capo prestO!!!!!

 :o :o :o :o :o

Offline stiantos

  • Esploratore
  • **
  • Post: 64
  • Sesso: Maschio
    • Mostra profilo
Re: [Sicurezza] - Problema Csrf Joomla! serie 1.0.x e 1.5
« Risposta #57 il: 22 Gen 2008, 18:53:29 »
In definitiva è bene attendere la versione aggiornata e localizzata in ita?

Un Winnie Pooh buono è un Winnie Pooh morto!
Gioco Online

 



Web Design Bolzano Kreatif