Уразливості на www.usdp.kiev.ua
19:15 03.04.201006.10.2009
У лютому, 07.02.2009, я знайшов SQL Injection, Full path disclosure та Cross-Site Scripting уразливості на http://www.usdp.kiev.ua - сайті політичної партії УСДП. Про що найближчим часом сповіщу адміністрацію сайта.
Зазначу, що я вже повідомляв власникам сайта про проблеми з його безпекою (шляхом ніжного хака сайта). Але вони й досі не виправили жодної уразливості на сайті, тим самим продовживши ігнорувати проблему безпеки власного ресурсу.
Детальна інформація про уразливості з’явиться пізніше.
03.04.2010
SQL Injection:
http://www.usdp.kiev.ua/?mid=-1%20or%20version()=5
http://www.usdp.kiev.ua/?mid=157&action=events_detail&id=-1%20or%20version()=5
Full path disclosure:
http://www.usdp.kiev.ua/?mid=-1
XSS:
http://www.usdp.kiev.ua/?mid=%3Cscript%3Ealert(document.cookie)%3C/script%3E
Дані уразливості вже виправлені. Але всіх проблем з безпекою сайта це не вирішило, бо на сайті все ще є дірки.
Четвер, 05:39 29.10.2009
Надеюсь уже закрыли, так как заказывали проверку )))
Оказалось намного больше дыр, чем я думал, двиг вообще сплошная дыра и как нес стыдно конторе которая ставит его всем )))
П.С. Капча ивел тут, только пройдет время пока писал…и все весь текст улетел, так как капча уже не верная ((
Неділя, 23:45 01.11.2009
GUNTER, нет ещё не закрыли - пока не закрыли ни одной дыры, что я нашёл у них на сайте (при беглом просмотре, т.к. дыр на сайте явно гораздо больше).
Кстати, этот сайт - это один из тех сайтов, где я обнаружил слабые логины и пароли, о чём мы говорили ранее. И замечу, что когда я 06.10.2009 сделал данный пост, то я проверил их сайт и выяснил, что хотя дыр они тогда не исправили, но пароль сменили
.
Я рад, что мой хак ихнего сайта на них повлиял позитивно и они сменили пароль. И даже заказали аудит сайта. И я рад, что это также тебе подкинуло работы (и заработка). Но админам usdp.kiev.ua нужно ещё и дыры исправить на сайте.
Да, дыр там хватает. На ряде сайтов на этом движке я нашёл немало дыр, и не о всех дырах в CMS SiteLogic я писал в новостях. И я похакал ряд сайтов на этом движке, в том числе и сайт девелоперов, чтобы привлечь их внимание к вопросам безопасности своих сайтов. Но все они забивают на это. Но всё же, судя по твоим словам, хотя бы УСДП начала задумываться о безопасности своего сайта.
Неділя, 23:59 01.11.2009
По поводу капчи. GUNTER, я тебе уже давал рекомендации относительно капчи.
Поэтому поводу у меня к тебе вопрос. У тебя случайно не та же проблема, что была у trovich. Когда он открывал несколько страниц сайта, где расположена капча, и в итоге сохранялось лишь значение последней капчи.
Т.к. данную капчу я использую с начала 2007 года и она себя хорошо зарекомендовала. И её алгоритм проверен временем. Сама капча использует сессии (что приводит к тем ограничениям о которых мы говорили с trovich-чем, но зато это самый безопасный метод работы), где сохраняется её значение, поэтому она зависит от настройки времени жизни сессии. А время это на сервере установлено достаточно продолжительное.
Ранее практически никто не жаловался на короткую жизнь капч, в основном на проблемы с запоминанием лишь последнего значения (о чём я упоминал выше). В том числе те люди которые жаловались, что “капча быстро закончилась”, на самом деле сталкивались именно с перезаписью значения капчи при открытии новой страницы. Может у тебя та жа проблема? Открой лишь одну страницу сайта с капчей и напиши коммент (скопипейстив его в буфер на всякий случай) и запость его.