Нові уразливості на www.rozetka.com.ua
23:56 05.05.2009У серпні, 11.08.2008, я знайшов нові уразливості на проекті http://www.rozetka.com.ua (онлайн магазин). Це Cross-Site Scripting та Insufficient Anti-automation уразливості. Про що найближчим часом сповіщу адміністрацію проекту.
Стосовно уразливостей на сайтах онлайн магазинів останній раз я писав про уразливості на tvshop.com.ua. Також раніше я вже писав про уразливості на www.rozetka.com.ua.
XSS:
Insufficient Anti-automation:
http://www.rozetka.com.ua/register.php
http://www.rozetka.com.ua/ru/contacts/index.html
На сторінці реєстрації та сторінці контактів немає захисту від автоматизованих запитів (капчі).
Дані уразливості досі не виправлені.
Середа, 14:07 06.05.2009
Ці уразливості я теж знаходив колись давно.
Компанія котра займається створенням сайтів не професійна, тому в кожному сайті їхнього портфоліо дана вразливість.
На прикладі це популярний сайт : http://allo.ua ( в полі коментарі активна XSS навіть є )
Середа, 18:51 06.05.2009
ZEXEL
Так, я дані уразливості теж давно знайшов (ці 3 в 2008 році, а попередні 3 - в 2007). Регулярно, як зайду на сайт Розетки, то обов’язково дірки знайду . Сьогодні от ще нові дірки знайшов.
Причому адміни rozetka.com.ua постійно ігнорують мої повідомлення про уразливості на їх сайті - жодного разу не відповіли мені, й дірки не виправляють. Як я перевірив, коли опублікував цей запис, зі старих дірок вони одну XSS виправили, але при цьому зробили Full path disclosure дірку.
Так, судячи з дірок на сайтах Розетки та Алло, компанія розробник недостатньо професійна. Що є звичним явищем в Уанеті, де я регулярно знахожу дірки на різних веб сайтах, в тому числі на сайтах веб студій та в CMS ураїнських розробників.
Ще як вночі зайшов глянути на їх веб сайт, одразу виявив, що деякі підходи і відповідно уразливості в них на сайті аналогічні до веб сайтів, які вони розробили. Ти вірно підмітив, деякі дірки на Розетці та Алло співпадають - явно використовують той же код (це в них така CMS для магазинів). Як я щойно перевірив, на allo.ua є одна XSS така як раніше оприлюднена дірка на rozetka.com.ua, та є XSS і одна Insufficient Anti-automation подібні до вищеоприлюднених дірок на rozetka.com.ua.
Середа, 18:56 06.05.2009
Я часом не розумію адміністрацію сайтів, я теж часто відписуюсь адміністрації про їх вразливості на сайті , але вони майже завжди ігнорують це.
Середа, 19:06 06.05.2009
Ну, цей сайт дещо менш популярний ніж rozetka.com.ua . Але дірок вистачає, як і на Розетці (бо движок той самий).
Це ти про коментарі до товарів (єдині коментарі, що я виявив на Алло та Розетці)? Як я перевірив, безпосередньо в полі комантарю XSS немає (ні активного, ні пасивного), до того ж на Алло коментарі для відвідувачів закриті, треба бути зареєстрованим і залогіненим для коментування.
Зате я виявив чимало активних XSS через профайл (як на allo.ua, так і на rozetka.com.ua), зокрема одна з них на allo.ua також працює для коментарів (що дозволяє атакувати не тільки поточного користувача, а й всіх користувачів та відвідувачів). А на rozetka.com.ua ця активна XSS в коментарях відсутня, зате є дві інші активні XSS (що працюють для поточного користувача).
Четвер, 23:10 28.05.2009
Вітя, це пов’язано з несерйозністю адмінів сайтів. Я з цією несерйозністю і ігноруванням стикнувся ще в 2005 році, як тільки почав займатися напрямком веб безпеки. І по сей день майже нічого не змінилося (незважаючи на велику трату власного часу на соціальний секюріті аудит).
Або ігнорують, або відповіді не дадуть, але при цьому втихаря виправлять дірку, або і не відповідають і дірки погано виправляють (про що я часто пишу в себе на сайті). Або ж доводилося стикатися з некоректними висловлюваннями в мою адресу (бо не всі раді тому, що у них на сайті дірку знайшли і люб’язно про це повідомили, бо потрібно буде цю дірку виправляти, а їм ліньки).
При цьому більшість власників сайтів забуває подякувати тим, хто дбає про безпеку їх сайтів (замість них самих). А це вже пов’язано з низьким рівнем культури.
Про різні відповіді, які я отримував на свої листи під час соціального секюріті аудита, я розповів в інтерв’ю журналу Хакер Спец (за лютий 2007 року).