Уразливості на filestore.com.ua

19:33 16.04.2010

20.10.2009

У лютому, 16.02.2009, я знайшов Cross-Site Scripting уразливості на сайті http://filestore.com.ua (файлообмінник). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

16.04.2010

XSS:

Дані уразливості вже виправлені.


9 відповідей на “Уразливості на filestore.com.ua”

  1. РУДИМЕНТ каже:

    Увы там все намного хуже с безопасностью, а админы видимо пофигисты полные ))

  2. MustLive каже:

    РУДИМЕНТ

    О проблемах с безопасностью на файлообменниках я пишу уже несколько лет. И дыр на таких сайтах хватает, особенно на украинских файлообменниках (на русских в целом чуть меньше дыр, а на западных ещё меньше), и админы любят забивать на безопасность ;-) . Но тем не менее, некоторые из админов подобных сайтов, на которых я находил дыры и писал о них в новостях, всё же исправляли уязвимости после моих уведомлений.

    Увы там все намного хуже с безопасностью

    Да, я заметил :-) . После написания данного поста, я зашёл на этот сайт и нашёл там ещё много других уязвимостей (включая SQL Injection). О чём напишу отдельный пост.

  3. Andrey каже:

    Напишите про SQL Injection поподробнее, пожалуйста

  4. MustLive каже:

    Andrey, все уязвимости, как упомянутые в записи Cross-Site Scripting, так и упомянутые в комментарии другие уязвимости на сайте (включая SQL Injection), имеются на данном сайте и все желающие могут их сами найти. Так что если тебе нужно, ты спокойно можешь посетить данный сайт и найти там любые из имеющихся на нём уязвимостей (а их там более чем хватает, как XSS и SQL Injection, так и многих других уязвимостей).

    Админам я о вышеупомянутых XSS написал - пусть исправляют (пока ни ответа, ни спасибо от них не получено). И если ты представляешь администрацию данного сайта, то нужно так и писать. Как дойдёт время до новых дыр, я о них напишу у себя в новостях и сообщу админам - это будет тогда когда я дойду до дыр за октябрь. Сейчас, как видно из моих новостей, я публикую дыры за февраль, поэтому до октябрських дыр очередь дойдёт в июне 2010 года.

  5. Andrey каже:

    Ну скажем по аналогии с passport.a.ua я видел эту уязвимость XSS, кстати пассивную. Так вот вопрос: как именно она может затронуть пользователя, если он сам не клацнул на сомнительную ссылку, размещенную непонятно где, выполнится ява-скрипт, который отошлет злоумышленнику куки или другую инфу. Единственное, что тут может ввести в заблуждение пользователя, так это имя домена в ссылке. Зачастую, если человек граммотный, то он на такое жизни не кликнет, особенно в сомнительном месте, а вот если не очень, то как говорится: “если человек идиот, то это на долго”.

  6. Andrey каже:

    Кстати не мешало бы увеличить таймаут для капчи, или хотя бы сделать возможность переввести ее без потери текста, а то перенабирать полностью весь текст - лениво

  7. Andrey каже:

    Еще один вопрос, Вы что-то окромя XSS еще изучили, а то Выши статьи нудно читать, везде одно и тоже, напоминает школоту, скачавшую свежий эксплойт с хакерру и возомнившую себя Богом?

  8. MustLive каже:

    Andrey

    Насчёт капчи я тебе уже ответил ранее.

    Ну скажем по аналогии с passport.a.ua я видел эту уязвимость XSS, кстати пассивную.

    При наличии на сайте XSS уязвимости, атаковать можно как при активных, так и пассивных XSS (при любом типе XSS), нужно лишь уметь.

    как именно она может затронуть пользователя, если он сам не клацнул на сомнительную ссылку, размещенную непонятно где

    Если ты не до конца понимаешь, что такое Cross-Site Scripting, и особенно, если ты сам не умеешь его использовать, то от этого уязвимость не станет менее опасной.

    Почитай статьи по XSS, чтобы лучше понять данный класс уязвимостей. В часности можешь прочесть мою статью Подводные камни в интернет рекламе или чем опасен XSS.

    Для атаки совершенно не нужно давать пользователю ссылку с XSS кодом, чтобы он на неё кликнул. Большинство атак, особенно при атаке на продвинутых пользователей, которые подозрительно относятся к ссылкам, используется метод скрытой атаки (о чём я не раз писал у себя на сайте). В частности, через скрытые ифремы и фреймы, когда пользователь даже не узнает об атаке. И для надёжности, при атаке на любых пользователей, стоит использовать именно скрытые методы атаки. Также для атаки можно использовать сервисы редирекции, чтобы спрятать подозрительный URL.

    Единственное, что тут может ввести в заблуждение пользователя, так это имя домена в ссылке.

    Использование различных методов шифрования адреса и других методов для уменьшения подозрительности ссылки, в частности вышеупомянутых сервисов редирекции, позволяет решить данную задачу. А использавание скрытых методов атаки ещё более упрощает задачу, т.к. не нужно будет скрывать адрес сайта.

  9. MustLive каже:

    Еще один вопрос, Вы что-то окромя XSS еще изучили

    Андрей, во-первых, список известных мне уязвимостей в веб приложениях весьма обширен. Что видно, как по перечню классов уязвимостей по которым я провожу аудит безопасности, так и по темам, которые я поднимаю у себя на сайте.

    А во-вторых, в своих записях я упоминаю не только о XSS, но и о многих других классах уязвимостей.

    а то Выши статьи нудно читать, везде одно и тоже

    У меня на сайте, есть не только статьи, но и записи других категорий. Данная запись относится к категории Уразливості. В категории же Статті ты найдёшь информацию о самых различных уязвимостях и методах атак.

    напоминает школоту, скачавшую свежий эксплойт с хакерру

    Эксплоитов с хакер.ру никогда не качал, вообще практически не пользуюсь этим сайтом (лишь иногда читаю новости на нём и о некоторых из них упоминаю у себя на сайте). Поэтому ничего особого не могу сказать ни о хакер.ру, ни об эксплоитах с этого сайта, ни о школоте его посещающем :-) .

    Зато в Хакере доводилось публиковать свою статью (в Хакер Спец за февраль 2007), о которой умопинал выше. И которую можешь почитать. Поэтому то, что тебе показалось, это твои личные особенности восприятия.

Leave a Reply

You must be logged in to post a comment.