Websecurity - Веб безпека

25.03.2009

У березні, 11.03.2008, я знайшов Cross-Site Scripting, Insufficient Authorization, Information Leakage та Insufficient Anti-automation уразливості на http://www.oplata.info - популярному сервісі оплати покупок через Інтернет. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

08.06.2009

Дані уразливості я знайшов після покупки на сайті www.popolni.com.ua, про уразливості на якому я також писав.

XSS:

• alert(document.cookie)
• alert(document.cookie)

Першу уразливість виправили, а ось другу виправили погано, тому при невеликій зміні коду, вона знову працює.

XSS:

• alert(document.cookie) (Mozilla)
• цікавий (Mozilla)

XSS:

POST запит на сторінці http://www.oplata.info/asp/pay_inv.asp?id_d=152039
"><script>alert(document.cookie)</script>В полях: wmid, email.

POST запит на сторінці http://www.oplata.info/delivery/delivery_msg.asp
><script>alert(document.cookie)</script>В полях: wm-идентификатор, номер счёта.

Insufficient Authorization та Information Leakage:

http://www.oplata.info/delivery/inf_purse.asp?id_i=1691594&wm_id=xxxxxxxxxxxx&rnd=95301

На даній сторінці виконується підтвердження про оплату, а також у випадку, коли оплата вже проведена, виводиться дані про оплачений товар (наприклад, PIN код карточки поповнення мобільного зв’язку). І немає жодного захисту від Insufficient Authorization, окрім id_i, wm_id та rnd (wm_id не обов’язковий).

А дана інформація може бути вгадана, або вияснена (через витік інформації). Зловмисник може сам розпочати транзакцію по купівлі карточки, а потім вислати лінку жертві (при цьому жертві прийде квитанція на оплату товару). Після того як жертва оплатить товар (PIN код), але ще не встигне активувати PIN код, зловмисник може, знаючи дану лінку, зайти на сайт, дізнатися PIN код та активувати його першим (тим самим безкоштовно поповнивши свій рахунок).

Достатньо зайти лише по цій лінці (тобто потрібно знати лише поля id_i та rnd):

http://www.oplata.info/delivery/inf_purse.asp?id_i=1691594&rnd=95301

Або зайти лише по цій лінці (тобто потрібно знати лише поле id_i та мати кукіс з сесією):

http://www.oplata.info/delivery/inf_purse.asp?oper=checkpay&id_i=1691594

Insufficient Anti-automation:

На сторінці замовлення товару (http://www.oplata.info/asp/ pay_inv.asp?id_d=152039) немає захисту від автоматизованих запитів (капчі). Тому можлива автоматизована розсилка запитів на wmid жертв на купівлю товарів в магазині. А також розсилка повідомлень (спаму) на емайли про купівлю товарів в магазині.

Більшість з уразливостей так досі й не виправлені.

This entry was posted on 19:36 08.06.2009 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.