Місяць багів в Пошукових Системах: підсумки

23:24 01.07.2007

Завершився мій проект Місяць багів в Пошукових Системах і я підводжу підсумки.

В проекті прийняли участь 33 пошукові системи (30 веб пошуковців та 3 локальних пошуковця) 19 вендорів, деякі вендори володіють декількома пошуковцями. Перелік учасників проекту (в порядку появи): Meta, Yahoo, HotBot, Gigablast, MSN, Clusty, Yandex, Yandex.Server (локальний пошуковець), Search Europe, Rambler, Ask.com, Ezilon, AltaVista, AltaVista local (локальний пошуковець), MetaCrawler, Mamma, Google, Google Custom Search Engine (локальний пошуковець), My Way, Lycos, Aport, Netscape Search, WebCrawler, Dogpile, AOL Search, My Search, My Web Search, LookSmart, DMOZ (Open Directory Project), InfoSpace, Euroseek, Kelkoo, Excite.

Всього оприлюднено 104 уразливостей в зазначених пошуковцях. Включаючи Cross-Site Scripting (як XSS, так і HTML Injection), Full path disclosure, Content Spoofing та Information disclosure уразливості. Це без врахування редиректорів в пошукових системах (всього було опубліковано 23 редиректори).

Результати проекту: виправлено 44 уразливостей з 104 (без врахування редиректорів). Це 42,31% виправлених уразливостей. Власникам пошукових систем є ще куди покращувати безпеку своїх пошуковців.

Зазначу, що з усіх вендорів пошукових систем лише двоє подякували мені (з 19 вендорів 33 пошукових систем), за витрачений на них час, за пошук уразливостей в їх системах та допомогу в підвищенні безпеки їх пошуковців (це Rambler та Ezilon). А всі інші власники пошукових систем навіть не подумали (полінилися) це зробити. Що дуже не етично з їх сторони і над своєю етикою та культурою їм ще варто попрацювати.

Як я писав в описі проекту, я вирішив визначити переможців Місяця багів в Пошукових Системах в двох номінаціях. Під час проведення проекту кожен відвідувач сайту міг проголосувати за вподобаний баг залишивши коментар у відповідному записі. Сьогодні я підрахував голоси відвідувачів і оголошую переможців.

Результати голосування:

Best bug of MOSEB MustLive Choice

Також зверніть увагу на MOSEB-05 Bonus: Vulnerabilities at autos.msn.com, на обох цих проектах MSN уразливості базується на техніці Expressive comments space-hack filters bypass technique.

Best bug of MOSEB Visitors Choice

Цікава уразливість, до того ж це найбільш небезпечний баг MOSEB.

Список TOP5 багів MOSEB (відповідно до вибору відвідувачів):

  1. MOSEB-20 Bonus: Google dorks strikes back
  2. MOSEB-06: Vulnerabilities at clusty.com
  3. MOSEB-05: Vulnerability at shopping.msn.com
  4. MOSEB-15: Vulnerabilities at images.google.com
  5. MOSEB-10: Vulnerabilities at www.ask.com

Поздоровляю переможців Microsoft та Google! Уразливості в своїх пошуковцях ви робите найкращі ;-) . Іншим розробникам пошукових систем треба ще вчитися у вас. Але усім вендорам треба ще працювати над покращенням безпеки своїх пошуковців.

Спасибі, що слідкували за проектом MOSEB. Усього найкращого. І приділяйте увагу своїй безпеці.

P.S.

До речі, перед проведенням даного проекту (MOSEB), я проводив ще один цікавий проект по оприлюдненню уразливостей на важливих сайтах. В січні я проводив президентську фієсту - публікував дірки на сайтах президентів :-) (звісно я сповістив адміністрацію цих сайтів про уразливості).

Також можете ознайомитися.


Одна відповідь на “Місяць багів в Пошукових Системах: підсумки”

  1. MustLive каже:

    Зазначу, що з трьох найбільших пошукових систем, лише Yahoo та MSN виправили уразливості (прочому досить оперативно), але не Google. Всі наведені уразливості в Гуглі (MOSEB-15, MOSEB-15 Bonus та MOSEB-20 Bonus) досі не виправлені.

    Які проблеми у Гугла з цим? Дірки треба виправляти.

Leave a Reply

You must be logged in to post a comment.