Уразливості на job.ukr.net
16:26 07.12.200629.10.2006
В минулому місяці, 09.09.2006, я знайшов чимало уразливостей на відомому проекті http://job.ukr.net (кілька SQL Injection, SQL DB Structure Extraction та Cross-Site Scripting). Про що найближчим часом сповіщу адміністрацію проекту.
Це далеко не перший випадок уразливостей на сайтах про роботу. Я вже писав раніше про інші уразливі сайти про роботу, зокрема Нові уразливості на meta.ua, Уразливості на 101.kiev.ua, Уразливість на www.prorobotu.net.ua та інші.
Детальна інформація про уразливості з’явиться пізніше.
07.12.2006
XSS:
SQL DB Structure Extraction:
http://job.ukr.net/viewvac/index.php?categ=1®ion=1-
В коді сторінки виводить структуру БД сайту.
SQL Injection:
Дані уразливості вже виправлені. Але адміни виправили не всі уразливості, про які я їм повідомив.
SQL Injection:
Дана SQL Injection так і не була виправлена. Використовуйте цю уразливість на власний страх і ризик . Поки вона працює і доки її не виправлять адміни job.ukr.net.
Четвер, 10:42 04.06.2009
+1 За скулю) В хакері описали повний злом.
А я знайшов активку на пошті) uasc.org.ua/2009/06/active-xss-на-пошті-ukrnet/
П'ятниця, 00:35 05.06.2009
Dimi4, завжди будь ласка .
А в якому це номері описали взлом ukr.net і що через мою SQLi? Якщо через знайдену мною дірку, то хоч про мій сайт в статті згадали?
Бо зазначу, що в 2006 мені приходили по ємайлу погрози від укр.нету за публікацію цієї SQL Injection. Іноді мені пишуть погрози люди, яким не подобається оприлюднена в мене на сайті інформація (це роблять лише невиховані люди і це рідкі випадки).
Молодець, активна XSS - це добра знахідка.
Можеш розіслати користувачам даної пошти листи з кодом, в якому в пейлоаді буде вказаний редиректор на мій сайт . Хай зайдуть почитать про веб безпеку (як юзери укр.нету, так і їх адміни).
Субота, 20:44 14.08.2010
Ну що тут ще сказати ) Систему вони здається поміняли , але в них там більша частина серверів в інєкціях , tv.ukr.net недавно був ще в ауті (з нього траф на сплойти лили) аж раптом адміни спохватились і шелл видалили адмінку скрили, а багу не прикрили як і на решті їх сайтів !! Нездивуюсь якщо скоро база юзерів ukr.net буде ходити по неті за 50 зелених)) І Смішно і плакати хочеться , тут попробуй їм щось скажи про вразливість , все СБУ за тобою полювати буде потім!
П'ятниця, 23:58 27.08.2010
Так, дірок в них вистачає. І причому роками, і причому вони як не слідкували за безпекою, так і не слідкують, незважаючи на те, що я з 2006 року неодноразово привертав їх увагу до цієї проблеми і повідомляв про численні дірки.
Ну, я з таким не стикався - спокійно їм повідомляв про уразливості на їхніх сайтах. Хоча доводилося чути (в 2006 році) погрози від одного з керівників Укрнету (і він явно натякав на СБУ) стосовно вищенаведеної SQLi - це замість спасибі. Але вони як забивали на безпеку раніше, так і зараз продовжують це робити, скільки не звертай на це їхню увагу.
Субота, 20:12 28.08.2010
MustLive каже:
“Ну, я з таким не стикався - спокійно їм повідомляв про уразливості …. ”
Та на тебе вже там(сбу) папка давно є, звичайно якщо ти не працюєш на них ))) якщо щось серйозне буде , за тобою першим приїдуть і навішають того щой не робив…
Неділя, 23:56 29.08.2010
Ну, ти дуже “добрий” персонаж, судячи з твої слів . Веселу картину обмалював мені - неначе в курсі всіх справ в цій конторі (може тому, що там або на них працюєш) .
В своєму попередньому коментарі я мав на увазі, що ти перебільшуєш, що при повідомленні Укрнету про дірки, за тобою все СБУ буде полювати. За просто повідомлення про дірки не буде, а ось за щось більш серйозне цілком може бути.
Візьми наприклад той випадок, коли через рік після мене один персонаж з Києва знайшов дірки на job.ukr.net (бо вони навіть після моїх повідомлень продовжили забивати на безпеку на цьому та інших своїх сайтах), покахав сайт та написав про це статтю в журнал Хакер. Були до нього притензії від Укрнету чи від СБУ? Я про це нічого не чув. Тому я важаю твої переживання з приводу повідомлень Укрнету перебільшеними.
Ні, не працюю . Ні на СБУ, ні на інші спецслужби України.
Це вони можуть зробити будь-кому, хто мав справи з Укрнетом, чи не мав, головне щоб були достатні причини їм придовбатися. Тому не треба займатися криміналом, слід робити тільки добрі справи і тоді все буде добре.