Уразливість на uploadbox.com

23:53 21.10.2009

У лютому, 16.02.2009, я знайшов Cross-Site Scripting уразливість на сайті http://uploadbox.com (файлообмінник). Про що найближчим часом сповіщу адміністрацію сайта.

XSS:

Для атаки періодично потрібно використовувати новий код капчі (в параметрі code).


13 відповідей на “Уразливість на uploadbox.com”

  1. Andrey каже:

    Боянъ. Что-нить оригинальное, XSS уже всех затрахал.

  2. x-more каже:

    Вывод. Храните свои файлы на нормальных ФО ака depositfiles, letitbit, rapidshare.

  3. Andrey каже:

    Ичем же они круче аплоадбокса?

  4. MustLive каже:

    x-more

    Во-первых, не увлекайся SEO-спамом.

    Во-вторых, как я уже писал в комментариях к другому посту, дырявых файлообменников хватает. И за последние годы я писал об уязвимостях на многих файлообменниках (которые ты можешь найти через поиск по сайту). За последние дни я упомянул о нескольких ФО, дыры на которых нашёл 16.02.2009, т.к. в тот день я посетил ряд новых ФО, помимо тех, которые я использую регулярно (о дырах на которых также писал в новостях).

    Что касается упомянутых тобою ФО, то и им есть куда улучшать свою безопасность. К примеру на letitbit я нашёл дыру 12.07.2009, а на depositfiles я нашёл дыру сегодня (и об этих дырах я буду писать когда дойдёт до них очередь). Так что редкий файлообменник может похвастаться нормальным уровнем безопасности ;-) .

  5. Andrey каже:

    Ваша капча, особенно период который она действует - просто умидяет, сделайте ограничение 140 символов - получим твиттер, зато успеем камент написать.

  6. Andrey каже:

    Хотелось бы увидеть Ваш проект, в котором ноль 0 (не этот сайт на вордпрессе).

  7. MustLive каже:

    Ваша капча, особенно период который она действует - просто умидяет

    Andrey, по поводу своей капчи я уже отвечал в коментах не раз. Воспользуя советами, которые я привёл в том коменте. Когда я буду отвечать на твои коменты в другом посте, где ты также жаловался на мою капчу, я ещё напишу дополнительно по этому поводу.

    Ичем же они круче аплоадбокса?

    Посмотрим, что ответит x-more на твой вопрос. Обычно сео-спамеры не утруждают себя ответами на вопросы в коментах :-) .

    Со своей стороны скажу, что в плане безопасности у данных файлообменников (uploadbox.com и упомянутых x-more) есть одно сходство - все они дырявы ;-) (о чём я говорил выше).

  8. Andrey каже:

    Что я могу сказать… Других учить Вы горазды, а самому сделать что-то зась.

  9. Andrey каже:

    Кстати такой еще вопрос, почему по аплоадбоксу сразу была выложена уязвимость, а по файлстору - нет?

  10. MustLive каже:

    Андрей, я вижу ты увлекаешься словоблудием ;-) .

    Замечу, что в данное время я сильно занят (слишком много работы), что у меня является обычным состоянием, но со временем я отвечу на твои комментарии. По этому поводу не беспокойся, я обязательно отвечу на все твои комментарии (в этом и других постах).

    Хотелось бы увидеть Ваш проект, в котором ноль 0 (не этот сайт на вордпрессе).

    По-первых, WP - достаточно дырявый движок (о чём я не раз писал), я это хорошо знаю, т.к. сам нашёл в нём множество уязвимостей. И я приложил немало усилий, чтобы исправить все найденные дыры в WP, который я использую у себя на сайте.

    Во-вторых, моих проектов в Интернете немало (как сделанных для себя, так и разработанных для заказчиков), поэтому ты легко можешь их найти через поисковики (по моему псевдониму). За исключением тех веб сайтов и веб приложений, которые я разрабатывал на заказ и где мой копирайт на страницах не фигурирует (лишь в исходниках), в большинстве случаев на сайтах разработанных мною фигурирует мой псевдоним.

    К примеру, мой первый веб сайт - http://mlbpg.narod.ru. На котором 0 уязвимостей - можешь сам проверить :-) . И что интересное, на нём не было уязвимостей с момента его создания в апреле 1999.

  11. MustLive каже:

    Ваша капча, особенно период который она действует

    Андрей, насчёт капчи.

    По этому поводу я вчера детально написал в другом комментарии. Возможно у тебя та жа проблема, что и у GUNTER.

    Т.к. данную капчу я использую с начала 2007 года и она себя хорошо зарекомендовала. И время действия значения капчи достаточно велико, поэтому я предополагаю, что у тебя и GUNTER имеет место другая причина приводящая к проблеме с капчей (что у вас происходит перезапись значения капчи), о чём я писал в том комментарии.

  12. MustLive каже:

    Andrey

    На другие твои вопросы я уже ответил ранее, теперь отвечу на оставшиеся комментарии.

    Боянъ. Что-нить оригинальное, XSS уже всех затрахал.

    Сама дыра не боян, т.к., во-первых, о данной дыре я пишу впервые (в Интернете), а во-вторых, я о ней впервые пишу у себя на сайте.

    А насчёт того, что XSS мог всем надоесть, то кому-то он надоел, а кому-то нет, а многие вообще как не знали, так и не знают, что это такое. Что хорошо видно по всему тому громадному количеству XSS дыр в Сети, и что все админы и веб девелоперы как делали, так и продолжают делать XSS дыры на своих сайтах. Ну, а если персонально тебе надоел XSS, то не читай мои посты, где упоминается данный класс уязвимостей, а читай посты с упоминанием других классов уязвимостей ;-) , которых хватает у меня на сайте (я публикую информацию о различных классах уязвимостей).

  13. MustLive каже:

    Других учить Вы горазды, а самому сделать что-то зась.

    То, что приходится учить других - это у меня миссия такая. А вот твоё неконструктивное обвинение меня в лени, то это исключительно несерьёзное заявление.

    Я не ленивый человек и вся моя деятельность в Интернете, каждый мой проект (коих немало), тому подтверждение. В том числе данный мой проект и вся моя деятельность в области веб безопасности за 4,5 года. О твой же деятельности, помимо неконструктивного критиканства, мне ничего не известно :-) .

    почему по аплоадбоксу сразу была выложена уязвимость, а по файлстору - нет?

    Ты меня ещё спроси по каждой узявимости опубликованной за 3,5 года работы моего веб проекта. Мне как автору виднее, что постить и делать ли responsible или full disclosure.

    Если ответить более детально, то данная публикация деталей уязвимости сразу (full disclosure) сделана для разнообразия. Т.к. в предыдущие годы в основном я вначале делал анонсы, а лишь потом публиковал детали (за ислючением моих проектов MOSEB, MoBiC и Дней багов). С начала 2009 года я ввёл правило, чтобы периодически публиковать детали уязвимостей сразу же (без анонсов). В среднем раз в неделю я делаю full disclosure.

Leave a Reply

You must be logged in to post a comment.