Уразливості на www.webappsec.org

15:18 12.02.2011

03.12.2008

Вчора, 02.12.2008, я знайшов уразливості на сайті WASC http://www.webappsec.org, в Web Security Mailing List. Даний Mailing List - це розсилка на тему веб безпеки. І в ній я виявив Abuse of Functionality, Insufficient Anti-automation та Information Leakage уразливості, а сьогодні ще й виявив Information Leakage.

Детальну інформацію про уразливості я напишу модераторам розсилки та всім її участникам в самому Web Security Mailing List.

12.02.2011

Раніше розсилка розміщувалася за адресою http://www.webappsec.org/lists/websecurity/, а з кінця січня 2011 року вона розміщується за адресою http://lists.webappsec.org /mailman/listinfo/websecurity_lists.webappsec.org. На сервері lists.webappsec.org окрім Web Security Mailing List також почали розміщуватися інші розсилки WASC.

Abuse of Functionality:

Коли участник посилає повідомлення в розсилку, після публікації вона посилається всім дописувачам. І погані хлопці (спамери), що підписані на розсилку, можуть встановити автовідповідач зі спамовим (чи зловмисним) повідомленням. І дане повідомлення автоматично відправиться на емайл відправника.

Abuse of Functionality:

Розсилка захищає емайли участників, що посилають повідомлення в розсилку (шляхом видозміни їх - обфускації). Але використовуючи підписку спамери можуть легко виявити емайли участників.

Insufficient Anti-automation:

Можлива автоматизована реєстрація. Що дозволить спамерам автотизовано підписуватися на розсилку та проводити дві вищезгадані атаки.

Information Leakage:

В розсилці емайли участників приховуються в опублікованих повідомленнях (шляхом заміни домену на “xxxxx”) - для захисту від спамерів. Але в тексті повідомлення (при цитуванні) публікуються емайли в чистому вигляді. В результаті, в одному листі можуть бути приховані й не приховані емайли, що приводить до витоку емайлів.

Якщо Information Leakage уразливість була оперативно виправлена, то інші уразливості виправлені не були. Представники WASC проігнорували їх, вважаючи дані загрози прийнятними і “типовим явищем” для розсилок, тому користувачам розсилок варто враховувати дані загрози в розсилках при їх використанні.


Leave a Reply

You must be logged in to post a comment.