Уразливість на uploadbox.com
23:53 21.10.2009У лютому, 16.02.2009, я знайшов Cross-Site Scripting уразливість на сайті http://uploadbox.com (файлообмінник). Про що найближчим часом сповіщу адміністрацію сайта.
XSS:
Для атаки періодично потрібно використовувати новий код капчі (в параметрі code).
П'ятниця, 00:30 23.10.2009
Боянъ. Что-нить оригинальное, XSS уже всех затрахал.
П'ятниця, 13:58 23.10.2009
Вывод. Храните свои файлы на нормальных ФО ака depositfiles, letitbit, rapidshare.
П'ятниця, 23:02 23.10.2009
Ичем же они круче аплоадбокса?
П'ятниця, 23:10 23.10.2009
x-more
Во-первых, не увлекайся SEO-спамом.
Во-вторых, как я уже писал в комментариях к другому посту, дырявых файлообменников хватает. И за последние годы я писал об уязвимостях на многих файлообменниках (которые ты можешь найти через поиск по сайту). За последние дни я упомянул о нескольких ФО, дыры на которых нашёл 16.02.2009, т.к. в тот день я посетил ряд новых ФО, помимо тех, которые я использую регулярно (о дырах на которых также писал в новостях).
Что касается упомянутых тобою ФО, то и им есть куда улучшать свою безопасность. К примеру на letitbit я нашёл дыру 12.07.2009, а на depositfiles я нашёл дыру сегодня (и об этих дырах я буду писать когда дойдёт до них очередь). Так что редкий файлообменник может похвастаться нормальным уровнем безопасности
.
П'ятниця, 23:16 23.10.2009
Ваша капча, особенно период который она действует - просто умидяет, сделайте ограничение 140 символов - получим твиттер, зато успеем камент написать.
П'ятниця, 23:20 23.10.2009
Хотелось бы увидеть Ваш проект, в котором ноль 0 (не этот сайт на вордпрессе).
П'ятниця, 23:51 23.10.2009
Andrey, по поводу своей капчи я уже отвечал в коментах не раз. Воспользуя советами, которые я привёл в том коменте. Когда я буду отвечать на твои коменты в другом посте, где ты также жаловался на мою капчу, я ещё напишу дополнительно по этому поводу.
Посмотрим, что ответит x-more на твой вопрос. Обычно сео-спамеры не утруждают себя ответами на вопросы в коментах
.
Со своей стороны скажу, что в плане безопасности у данных файлообменников (uploadbox.com и упомянутых x-more) есть одно сходство - все они дырявы
(о чём я говорил выше).
П'ятниця, 23:58 23.10.2009
Что я могу сказать… Других учить Вы горазды, а самому сделать что-то зась.
Субота, 00:00 24.10.2009
Кстати такой еще вопрос, почему по аплоадбоксу сразу была выложена уязвимость, а по файлстору - нет?
Субота, 23:12 24.10.2009
Андрей, я вижу ты увлекаешься словоблудием
.
Замечу, что в данное время я сильно занят (слишком много работы), что у меня является обычным состоянием, но со временем я отвечу на твои комментарии. По этому поводу не беспокойся, я обязательно отвечу на все твои комментарии (в этом и других постах).
По-первых, WP - достаточно дырявый движок (о чём я не раз писал), я это хорошо знаю, т.к. сам нашёл в нём множество уязвимостей. И я приложил немало усилий, чтобы исправить все найденные дыры в WP, который я использую у себя на сайте.
Во-вторых, моих проектов в Интернете немало (как сделанных для себя, так и разработанных для заказчиков), поэтому ты легко можешь их найти через поисковики (по моему псевдониму). За исключением тех веб сайтов и веб приложений, которые я разрабатывал на заказ и где мой копирайт на страницах не фигурирует (лишь в исходниках), в большинстве случаев на сайтах разработанных мною фигурирует мой псевдоним.
К примеру, мой первый веб сайт - http://mlbpg.narod.ru. На котором 0 уязвимостей - можешь сам проверить
. И что интересное, на нём не было уязвимостей с момента его создания в апреле 1999.
Понеділок, 23:47 02.11.2009
Андрей, насчёт капчи.
По этому поводу я вчера детально написал в другом комментарии. Возможно у тебя та жа проблема, что и у GUNTER.
Т.к. данную капчу я использую с начала 2007 года и она себя хорошо зарекомендовала. И время действия значения капчи достаточно велико, поэтому я предополагаю, что у тебя и GUNTER имеет место другая причина приводящая к проблеме с капчей (что у вас происходит перезапись значения капчи), о чём я писал в том комментарии.
П'ятниця, 23:57 27.11.2009
Andrey
На другие твои вопросы я уже ответил ранее, теперь отвечу на оставшиеся комментарии.
Сама дыра не боян, т.к., во-первых, о данной дыре я пишу впервые (в Интернете), а во-вторых, я о ней впервые пишу у себя на сайте.
А насчёт того, что XSS мог всем надоесть, то кому-то он надоел, а кому-то нет, а многие вообще как не знали, так и не знают, что это такое. Что хорошо видно по всему тому громадному количеству XSS дыр в Сети, и что все админы и веб девелоперы как делали, так и продолжают делать XSS дыры на своих сайтах. Ну, а если персонально тебе надоел XSS, то не читай мои посты, где упоминается данный класс уязвимостей, а читай посты с упоминанием других классов уязвимостей
, которых хватает у меня на сайте (я публикую информацию о различных классах уязвимостей).
Субота, 00:17 28.11.2009
То, что приходится учить других - это у меня миссия такая. А вот твоё неконструктивное обвинение меня в лени, то это исключительно несерьёзное заявление.
Я не ленивый человек и вся моя деятельность в Интернете, каждый мой проект (коих немало), тому подтверждение. В том числе данный мой проект и вся моя деятельность в области веб безопасности за 4,5 года. О твой же деятельности, помимо неконструктивного критиканства, мне ничего не известно
.
Ты меня ещё спроси по каждой узявимости опубликованной за 3,5 года работы моего веб проекта. Мне как автору виднее, что постить и делать ли responsible или full disclosure.
Если ответить более детально, то данная публикация деталей уязвимости сразу (full disclosure) сделана для разнообразия. Т.к. в предыдущие годы в основном я вначале делал анонсы, а лишь потом публиковал детали (за ислючением моих проектов MOSEB, MoBiC и Дней багов). С начала 2009 года я ввёл правило, чтобы периодически публиковать детали уязвимостей сразу же (без анонсов). В среднем раз в неделю я делаю full disclosure.