1 may 2012

Nueva versión de Flu b0.5.2

Buenas a todos, desde que desarrollamos el portal web de Flu con el motor actual (versión Flu b0.3 en adelante), hemos localizado algunas vulnerabilidades de tipo XSS y SQLi. Muchos de vosotros nos las habéis ido notificando también a lo largo de los últimos meses (¡gracias a todos!, y en especial a Fernando Quintero, que dedicó muchas horas a evaluar la seguridad del portal y Alejandro Nolla), pero por falta de tiempo lo hemos ido dejando y centrándonos en el código del bot, y esperando a que alguien nos echase un cable desarrollando ;) Pero como esto se hacía esperar, nos hemos decidido este fin de semana a meterle mano al código y solventar varias de ellas (se nos habrán quedado muchas en el tintero, según nos vayáis reportando las iremos corrigiendo). No hemos realizado correciones que impliquen el cambio del código del bot, (como por ejemplo, el upload file de forma arbitraría del archivo recibirArchivo.php, que dejaremos para la próxima actualización, ya que aplicaremos un sistema de tokens entre cliente y servidor) hemos editado y añadido únicamente archivos PHP al servidor Web y tablas a la BBDD.

Además de estas correcciones, hemos añadido un Captcha al login para evitar ataques Brute Force. Dar gracias a nuestro gran amigo Hecky, que publicó a la comunidad un genial manual para desarrollar captchas y hemos procedido a utilizar.

Por otro lado, hemos añadido por petición de Fernando, la posibilidad de modificar desde el panel de control el key e iv de descifrado de la respuesta enviada del bot al servidor web. En la misma línea, hemos añadido la posibilidad de editar los usuarios que tienen acceso al portal desde el propio panel de control, y hemos cifrado la contraseña de la BBDD con el algoritmo Sha1.

Como de costumbre todos los cambios los encontraréis en la última versión de Flu, b0.5.2, gratuita, y que podréis descargar desde el siguiente enlace:

http://code.google.com/p/flu-project/downloads/list

 

Hemos grabado un video mostrando desde 0 el proceso de instalación y configuración tanto del panel de control, como del bot de la nueva versión de Flu. Podéis verlo a continuación, ¡disfrutarlo!:

[youtube jtqrTxOaOAo nolink]

Saludos!

3 comentarios:

  1. No se si hice mal mi test o que onda, pero según ví que aún tenía CSRF, se me ocurre una manera sencilla de solucionarlo mediante un chequeo del referer, se qué aún así se puede bypassear, pero vamos se lo ponemos más difícil a la gente... :D

    ResponderEliminar
  2. Rodrigo Moreno: No se si hice mal mi test o que onda, pero según ví que aún tenía CSRFSí, como comentábamos en el post, no hemos arreglado todo aún. Para solucionar el CSRF yo implementaría un sistema de tokens. Se podría añadir otra capa más chequeando el referer también.saludos

    ResponderEliminar
  3. glass insulators value3 de mayo de 2012, 8:52

    Buen reportaje, soy visitante habitual de www.flu-project.com, mantener el funcionamiento agradable, y que va a ser un visitante regular durante mucho tiempo.

    ResponderEliminar