Нова уразливість на begun.ru
20:40 08.11.2006В серпні, 08.08.2006, я знайшов Cross-Site Scripting уразливість на відомому проекті http://begun.ru. Про що вже попередньо сповістив адміністрацію проекту (ще в серпні).
XSS:
І вже адміни Бєгуна виправили дану уразливість.
Я вже писав про попередню уразливість на begun.ru. З приводу Бєгуна, я лише хотів зауважити (ще з серпня), про некоректну поведінку Бєгуна і його адмінів.
Крім того, що вони не відповіли на мої листи - це поширене явище, і таких випадків в моїй практиці багато. Не це головне. Головне що вони прореагували і виправили уразливості, і головне як це вони зробили.
Бєгун в наглую, мало того що він допускає уразливості на своєму сайту і не слідкує за його безпекою (не проводить аудит), так ще й виправляє уразливості не дочекавшись моїх попереджень (і не відповідаючи на них). Адміні явно аналізують логи (або сервера, або ті, що веде система сайта). Причому роблять це тривалий проміжок часу, тобто вони реагують з великим запіздненням, і зловмисник може провести свої атаки.
І базуючись на цьому, вони знаходять в логах мої запити до системи з метою її аудиту (чим їм самим було лінь займатися), вони через деякий час, поки я відклав, щоб написити їм повідомлення, виправляють уразливість - мовляв це ми самі знайши, і ми тут самі розумні. Навіть не подякувавши, неначебто ніхто і не шукав на їх сайті уразливості (і не писав їм повідомлення).
Поведінка цієї компанії не викликає позитивних емоцій (звісно наступні уразливості нехай самі шукають - немає чого задарма експлуатувати інших). Якщо з відвідувачами своїх сайтів (і секюріті консультантами) вони так нахабно чинять, то ще невідомо як вони поводяться зі своїми клієнтами. Всім клієнтами Бєгуна варто бути обачними.