XSS уразливість в Drupal
23:56 18.02.2009Ще 12.11.2007 я знайшов Cross-Site Scripting уразливість в Drupal. Про що найближчим часом сповіщу розробників системи.
Дану уразливість я виявив на сайті http://it.ridne.net, який зокрема публікує новини на тему інформаційної безпеки. Як я виявив в 2008 році, коли дішла черга до публікації даної дірки на it.ridne.net, вони вже виправили її (явно шляхом апгрейда движка, навіть не підозрюючи, що на сайті є уразливість).
XSS:
POST запит на сторінці http://site/user/password
<BODY onload="a='alert';b='(document.cookie)';eval(a+b);"
В полях: Username та E-mail address.
Уразливі Drupal 4.5.2 та попередні версії (і можливо деякі наступні версії). В останніх версіях уразливість вже виправлена.
Четвер, 10:15 19.02.2009
Ну разработчики Друпала ведь тоже ищут всякого рода уязвимости. Мое мнение, что лучше использовать платные движки. Там хоть пожаловаться продавцу. А на шаровых - фиг.
Четвер, 23:58 19.02.2009
Sergoff
Конечно, разработчики иногда сами ищут уязвимости в своих продуктах. Но не часто и не все разработчики
- что хорошо видно по количеству дыр в различных веб приложениях которые публикуются ежедневно.
Разработчики Друпала сами часть дыр находят, но большую часть находят секюрити исследователи - как это имеет место и у других опен сорс проектов (в разных проектах по разному, но обычно большинство дыр находят именно исследователи). Это можно проследить у разных движков по свободно опубликованным эксплоитам. И обычно лишь после публикации эксплоитов, когда будут похаканы множество сайтов, девелоперы выпускают исправление.
К сожалению многие разработчики привыкают к этому, и в основном надеятся, что им безплатно найдут дыры и самим следить за безопасностью (и вкладывать в это средства) не нужно. А некоторые изначально только так и поступают - не следят за безопасностью и исправляют дыры лишь когда им об этом сообщат. Причём подобного подхода придерживаются многие разработчики как опен сорс, так и коммерческих веб приложений.
Как видно из публикуемых мною дыр в веб приложениях (найденных мною и найденных другими секюрити исследователями), уязвимости имеются и в платных и бесплатных движках и веб приложениях. Безопасность приложений зависит от ответственности разработчика - а с этим имеются проблемы и у опен сорс и у коммерческих разработчиков. У коммерческих девелоперов есть больше средств для того, чтобы вкладывать в безопасность, но к сожалению и первые, и вторые любят на ней экономить.
П'ятниця, 00:01 20.02.2009
Да это понятно. А с какой целью Вы ищете уязвимости?
П'ятниця, 00:30 20.02.2009
Так и есть. В случае бесплатных движков разработчик ответственности не несёт, а в случае коммерческих есть суппорт. Но ответственности тоже немного - за безопасностью следят не все и исправления могут долго выпускать. А если твой сайт похакают, то никакой ответственности данный разрабочик также не несёт.
Да и жаловаться особо люди не жалуются. Если в случае опенсорс движка никто ничего тебе не обязан, а в случае коммерческого - люди обычно не жалуются. Знаю об этом из своего опыта - когда я находил дыры или на сайтах где я проводил секюрити аудит или во время моих ежедневных исследований безопасности Интернета.
В данном случае речь идёт о тех владельцах сайтов, которые заказывали сайты у девелоперов (которые использовали или свои коммерческие движки или использовали опенсорсные). Речь идёт об украинских девелоперах, уровень ответственности которых ниже среднемирового. Так мало того, что эти владельцы сайтов никаких жалоб девелоперам не высказывали (и были весьма лояльными к ним), так ещё и веб девелоперы по долгу исправляли дыры на сайтах (не спеша), подвергая данные сайты риску атаки. Да ещё и часто плохо исправляли уязвимости
(а эти владельцы сайтов в данном случае полностью от девелоперов зависили, т.к. не разбирались в программировании).
П'ятниця, 00:38 20.02.2009
На этот вопрос я многократно отвечал в своих интервью. Так что можешь почитать некоторые из них
.
Основные мои мотивы (которыми я руководствуюсь с начала 2006, и в некоторой мере ещё с 2005, и по сей день): проведение социального секюрити аудита, увеличение безопасности Сети и привлечение внимания веб разрабочиков и веб мастеров к данным проблемам, проведение секюрити исследований, демонстрация своих возможностей (чтобы все, кому нужно поднять безопасность своего сайта, могли обратиться ко мне за секюрити аудитом).