MyBB Version-এ সংরক্ষিত XSS-এর দুর্বলতা

  • Home
  • WordPress
  • MyBB Version-এ সংরক্ষিত XSS-এর দুর্বলতা
Mybb Version এ Xss এর দূর্বলতা
নভে. 29, 2022

MyBB পূর্বে MyBulletinBoard নামে পরিচিত একটি বিনামূল্যের এবং Open source forum software যা PHP এবং My SQL এর উপর ভিত্তি করে। সম্প্রতি এটি তার আগের সংস্করণে একটি সমালোচনামূলক সংরক্ষিত XSS (Cross-site scripting) এবং RCE (Remote-code execution) এর জন্য ঝুঁকিপূর্ণ । এই কারণে Forum-এ শুধুমাত্র একটি ব্যবহারকারীর Account ধারণকারী যেকোন অপরাধী administrator-কে একটি ক্ষতিকর প্রাইভেট ম্যাসেজ পাঠিয়ে বা একটি ক্ষতিকর Post তৈরি করে যেকোনো Board hijack করতে পারে।

MyBB-এ দুর্বলতা

MyBB-তে নিম্নোক্ত দুর্বলতাগুলি প্রধান ছিল:

Post এবং personal message Parsing ত্রুটি৷

প্রথমটি হল অনুপযুক্ত Parsing ত্রুটি যা JavaScript সনাক্ত করে না। সুতরাং, যখন লক্ষ্যযুক্ত ফোরাম-এ একজন খারাপ অভিনেতা একজন administrator-কে ক্ষতিকর JavaScript code সহ একটি প্রাইভেট ম্যাসেজ পাঠায়, তখন এটি security-কে bypass করে। আরও, এই দুর্বলতার জন্য administrator-এর আর কিছুই প্রয়োজন নেই। Board-এর সম্পূর্ণ নিয়ন্ত্রণ পেতে হ্যাকার-এর অন্য কোনো পদক্ষেপ নেয়ার প্রয়োজন নেই। আক্রমণকারী PM খুললেই, বোর্ড-এর database-এ সংরক্ষিত সমস্ত ব্যবহারকারীর Account, private thread এবং ম্যাসেজ-গুলিতে সম্পূর্ণ এক্সেস পায়।

Remote code execution দুর্বলতা

Forum MyBB-র দ্বিতীয় দুর্বলতা হল একটি সংরক্ষিত Remote code execution (RCE). যাইহোক, এটি শুধুমাত্র administrator অনুমতি নিয়ে একজন ব্যক্তির দ্বারা absorbed হতে পারে। কিন্তু private message-গুলির Parsing ত্রুটির কারণে একজন হ্যাকার-কে Website-এর Remote control নিতে দেয় এবং ডাটাবেজ-এ ক্ষতিকারক PHP code সংরক্ষণ করে।

আপনার website hack হয়েছে? এখনে Astra এর PHP Malware scanner দিয়ে পরীক্ষা করুন

Technical details

‘Parsing ‘ শব্দের অর্থ String parsing। মূলত, Parsing হল ব্যবহারকারীর Input Sanitize করা এবং তাদের মধ্যে রূপান্তর করা Mycode বা bbcodes. তাছাড়া, bbcodes হল একটি ফোরাম নির্দিষ্ট উপায় যা পোস্ট-এ ছবি, লিংক এবং video Embed করার জন্য ব্যবহার করা হয়।

Parsing সমস্ত HTML tag এবং Double quotes বাদ দিয়ে শুরু হয় এবং তারপর bbcode কে Iframe-এ রূপান্তর করতে যায়।

Mybb2 F984Fc056A550Fd9509Be0E1D95Ca822 800 -
[url] bbcode

কিন্তু bbcodes একটি ভিন্ন ধাপে HTML markup-এ রূপান্তরিত হওয়ার কারণে, [url] bbcode HTML markup এবংDouble coat-এ রূপান্তর করে iframe এর src কে ক্ষতিকর করে এবং এই ফলাফল Renderকরা হয়।

Mybb12 0Ae20Ada3Da9Fc21E5E833Beffb4D3A0 800 -
[url] bbcode HTML মার্কআপে রূপান্তরিত হয়

দুর্বলতা না থাকলে, অন্যান্য bbcodes মধ্যে bbcodes Injection করা সম্ভব হত না। তারপর একটি onload event handler inject করা হচ্ছে <iframe> tag. এই event handle-টি iframe-এর মধ্যে পেইজ-টি লোড হওয়ার সাথে সাথেই trigger করে। এইভাবে ক্ষতিকারক JavaScript code trigger করার জন্য কোনও ব্যবহারকারীর interaction-এর প্রয়োজন হয় না।

Mybb Url ডিকোড
MyBB URL ডিকোড

আপনার Website hack হয়েছে? এখন Astra এর PHP Malware scanner দিয়ে পরীক্ষা করুন

Latest Version-এ Update করুন

MyBB Version1.8.21-এ দুর্বলতা patch করেছে। এই Version-এ Update করা হল তাৎক্ষণিক পদক্ষেপ যা আপনি নিতে পারেন। এছাড়াও, আপনি যাতে এই আক্রমণের শিকার না হন তা নিশ্চিত করতে; একটি Web Application Firewall Install করুন। Web Application Firewall একটি অবিচ্ছিন্ন পর্যবেক্ষণ system এবং আপনার website-এ একটি অতিরিক্ত সুরক্ষা প্রদান করে

Astra Firewall এমন একটি Firewall যা একটি website-কে XSS, SQLi, CSRF, bad bot, OWASP শীর্ষ 10 এবং 100+ অন্যান্য সাইবার আক্রমণ থেকে রক্ষা করে। একটি Astra Dashboard দেখতে কেমন তা এখানে-

Astradashboarddemofinal D75E84B8Ed35B88C922287962C51Bf80 -

এখন একটি Astra ডেমো পান!

Tags:

Free Website Toolkit

Money Back Guarantee

If you’re unhappy for any reason, let us know why. Our friendly support guy is standing by. If you do decide we’re not the right host for you though, we’ll give you a hassle-free refund. We may have to stock up on tissues if you cancel though because we hate break-ups, but we promise, no hard feelings. Just cancel your account within your first 30-days for a full refund, or receive a prorated refund of unused service after 30-days. It’s that easy.

Free Domain Registration

In order to qualify for (1) one free domain name registration, you must sign up for a 12, 24 or 36 month Bitbyhost Shared, Web hosting and WordPress plan. Offer only applies to domains available only .com at the time of hosting signup, and on their initial purchase term. This offer is NOT available under any other hosting plans, nor can it be combined with any other offers. After the first year, your domain will renew at the regular rate.
If your hosting plan includes a free domain and you cancel your hosting within the first year, a non-refundable $12.08 USD domain fee (+ any applicable taxes) for the domain name will apply. Please note that newly registered domains cannot be transferred to another registrar during the first 60 days of the registration period.

Discount will be automatically applied to your cart at checkout.