Уразливість на www.shram.kiev.ua

22:44 05.11.2008

16.04.2008

У жовтні, 01.10.2007, я знайшов Cross-Site Scripting уразливість на хакерському проекті http://www.shram.kiev.ua (на сайті є й інші уразливості). Про що найближчим часом сповіщу адміністрацію проекту.

На даному веб сайті є окремий розділ про хакерство і безпеку. В тому числі є й стаття про Cross-Site Scripting :-) - як я часто згадую в новинах, сайти, що пишуть про XSS, дуже часто є вразливими до XSS, бо їх власники забувають перевіряти безпеку своїх сайтів.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.11.2008

XSS:

Дана уразливість досі не виправлена.


10 відповідей на “Уразливість на www.shram.kiev.ua”

  1. Admin каже:

    Прошу убрать упоминание на вашем сайте.

  2. trovich каже:

    > сайти, що пишуть про XSS, дуже часто є вразливими до XSS, бо їх власники забувають перевіряти безпеку своїх сайтів.
    Вони просто думають, що “репутація” сама їх захистить :)

  3. MustLive каже:

    Деякі явно так і думають :-) .

    А деякі власники сайтів зовсім на цій темі не розуміються, лише для кількості матеріали публікують. При цьому за безпекою не слідкуючи. У випадку власника даного сайта саме така ситуація і йому варто перечитати матеріали, що він розмістив в себе на сайті.

  4. MustLive каже:

    Admin

    Як я вже писав в коментарях в себе на сайті, а також відповідав по емайлу людям, що зверталися до мене з подібними проханнями - я ніколи не прибираю опубліковані в мене на сайті матеріали. Тобто, якщо я написав, що якийсь сайт дірявий, то дана інформація залишиться в мене на сайті. Щоб і власник сайта, і його користувачі й відвідувачі знали правду про стан його безпеки. В цьому в мене жорстка позиція.

    Тобі ж не варто з цього приводу переживати (як і власникам всіх сайтів, про уразливості на яких я згадую в своїх записах). Головне для тебе - це виправити уразливості і в подальшому слідкувати за безпекою свого проекту. Бо доки є дірки на сайті, вони створюють ризики як для адміна, так і для користувачів й відвідувачів сайта.

  5. www.shram.kiev.ua каже:

    И какая же уязвимость на сайте который написан в чистом HTML без баз и php в блокноте руками методом ???

    Можно узнать в каком разделе??? :idea:

  6. MustLive каже:

    Тарас!

    Я писав в своєму листі де знаходиться уразливість. І чим вона загрожує для твого сайта. Також в своєму пості я вже оприлюднив деталі, з яких видно де знаходиться уразливість (в downloads.php).

    И какая же уязвимость на сайте который написан в чистом HTML без баз и php

    Навіть в сайтах на чистому html бувають уразливості. Які мені доводилось знаходити і якщо читати матеріали мого сайта, то про це можна дізнатися. А в твоєму випадку XSS я знайшов в php скрипті.

    Що цілком відповідає на питання де в тебе дірка. І яким чином зроблений твій сайт. Тому тобі варто краще вивчити свій сайт, щоб знати які скрипти ти використовуєш на ньому (що не тільки html сторінки є в тебе на сайті, а й веб додатки). І які можуть мати уразливості, як я це вже продемонстрував, тому за їх безпекою потрібно слідкувати.

  7. shram.kiev.ua каже:

    а можно перепроверить сайт?

  8. MustLive каже:

    Звичайно, Тарас. Щойно перевірив як ти виправив уразливості в себе на сайті.

    Дана XSS виправлена, а от нова XSS виправлена не повністю, тому фільтр легко обходиться і уразливість знову працює. Так що виправляй цю уразливість і слідкуй за безпекою всіх веб додатків в себе на сайті.

  9. shram.kiev.ua каже:

    ну как наконец сейчас уже лучше?

  10. MustLive каже:

    Тарас, не дуже :-) .

    Новий варіант XSS атаки ти виправив, але я легко створив ще один, тим самим обійшовши захисні фільтри. Деталі вишлю тобі на емайл.

Leave a Reply

You must be logged in to post a comment.