New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Security: Hidden uploader script #899

Closed
Snoopy-Sec opened this Issue Apr 1, 2018 · 4 comments

Comments

3 participants
@Snoopy-Sec

Snoopy-Sec commented Apr 1, 2018

Open SID v.2.11 masih ada celahya pak :)
Setelah saya scan coba perhatikan path /desa/upload/user_pict/aEG1ZM_up.php
Disitu ada uploader tersembunyi yang sangat memungkin attacker bisa upload backdoor :)
Mohon di tutup ya pak :)

screenshot 75

@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Apr 1, 2018

Bagi programmer: masalah ini timbul karena saat ini, function berikut masih mengambil mime type file dari kiriman browser:

  • user_model.insert()
  • user_model.update()
  • pict_helper.UploadFoto()

Perlu diubah. Idealnya menggunakan uploader CI. Atau menggunakan fungsi $finfo = finfo_open(FILEINFO_MIME_TYPE), dan/atau opens_helper.isPHP(). Perlu diuji menggunakan file image yg berisi script php, seperti file aEG1ZM_up.php yang dilaporkan @Snoopy-Sec . File tersebut sudah dihapus dari situs demo. Tapi kami bisa sediakan di forum teknis bagi yg membutuhkan untuk menguji hasil perbaikan.

@eddieridwan eddieridwan changed the title from Hidden uploader script to Security: Hidden uploader script Apr 1, 2018

@eddieridwan eddieridwan added the security label Apr 1, 2018

@eddieridwan eddieridwan added this to DIPRIORITASKAN in Rilis yang sedang dikerjakan Apr 1, 2018

@esyede

This comment has been minimized.

Contributor

esyede commented Apr 2, 2018

@eddieridwan:
Kalau misalnya bug ini dikerjakan, kira - kira conflict tidak dengan pull #898 ?
Bagaimana cara membuat branchnya?
Soalnya kalau saya buat branch dari master di lokal saya, file donjo-app/models/user_model.php masih sama seperti master yang ada di OpenSID/OpenSID, tidak seperti yang ada di #898 . Saya khawatir akan terjadi conflict dengan #898 jika saya pull file donjo-app/models/user_model.php ke OpenSID/OpenSID.
Sedangkan saya butuh mengedit file itu untuk fixing bug ini, terutama method user_model::update_setting

@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Apr 2, 2018

Seharusnya tidak conflict dengan #898. #898 sebenarnya berurusan dengan 'dokumen' bukan gambar (ada penamaan function/variable yang keliru). user_model hanya berurusan dengan image. Penanganannya harusnya beda. Controller dan modelnya beda. #898 seharusnya tidak mengubah user_model.php.

@eddieridwan eddieridwan moved this from DIPRIORITASKAN to SEDANG DIKERJAKAN in Rilis yang sedang dikerjakan Apr 6, 2018

@eddieridwan eddieridwan moved this from SEDANG DIKERJAKAN to DIPRIORITASKAN in Rilis yang sedang dikerjakan Apr 6, 2018

@eddieridwan

This comment has been minimized.

Collaborator

eddieridwan commented Apr 8, 2018

Sdh dicommit ke master melalui PR #920

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment