Уразливості на hackua.com
15:17 31.07.201015.12.2009
У квітні, 24.04.2009, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://hackua.com. Про що найближчим часом сповіщу адміністрацію сайта.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
31.07.2010
Abuse of Functionality:
Логіні користувачів є їх іменами на форумі, що дозволяє визначити логіни в системі.
Abuse of Functionality:
На сторінці http://hackua.com/register.php?do=register в полі Логін можна визначити логіни користувачів в системі. Це також можна зробити через POST запит до скрипта http://hackua.com/ajax.php. Дана уразливість дозволяє провести Login Enumeration атаку.
Insufficient Anti-automation:
Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.
Insufficient Anti-automation:
http://hackua.com/sendmessage.php?do=sendtofriend&t=1001
http://hackua.com/sendmessage.php
http://hackua.com/register.php?do=register
На даних сторінках наявна слабка текстова капча (коли потрібно ввести лише одну і ту саму фразу).
Дані уразливості досі не виправлені.
Неділя, 10:15 01.08.2010
http://hackua.com/sendmessage.php
Оце скоріше помилка Vbuletin, бо воно на всіх форумах.
Неділя, 23:51 01.08.2010
Це все уразливості в vBulletin. Бо на hackua.com використовується vBulletin. В різних версіях форумного движка може бути різний функціонал і тому можуть бути різні дірки з вищенаведених, дані дірки стосуються vBulletin 3.8.0.
Вівторок, 19:42 03.08.2010
Невиправлені бо адміна нема , недавно сайт непрацював видно хтось похекав ..
Вівторок, 21:21 03.08.2010
525
Так, сайт hackua.com нещодавно непрацював - були якісь проблеми на сервері. Адмін сайта мені про це нічого не повідомляв.
Адмін є. Я з ним знайомий і багато доводилося спілкуватися (в останнє говорив з ним наприкінці травня). Але він вирішив ці дірки не виправляти, мовлял це його цілком влаштовує - зокрема текстові капчі (з фіксованим тестом) його задовільняють своєю ефективністю. Хоча на мій погляд вони є дуже слабкими і варто використовувати або рендомні текстові капчі, або звичайні капчі-зображення (що краще).
Понеділок, 20:18 09.08.2010
Я говорив саме за цей період він поїхав в америку , тому пишу що нема . Нажаль форум розвалюється , дуже приємно було зустріти в інтернеті такий ресурс на українські мові ) Що до websecurity.com.ua також подобається , дякую амінам за проект , надіюсь таки в майбутньому ця сфера діяльності перейди хоч трохи на українську)
Понеділок, 23:56 09.08.2010
Так, він мені саме так і сказав, що в Америку поїде. Але з тих пір більше в асьці його не бачив, тому не знаю, чи він вже повернувся.
Будь ласка. До речі, я один адмін (як це має місце у випадку всіх моїх веб сайтів і веб проектів, за виключенням мого форуму по флешу, де ми спільно зробили форум для трьох сайтів).
Будемо на це сподіватися. І я зі своєї сторони буду прикладати для цього зусилля. Справа по трохи рухається в цьому напрямку, але в офлайні з секюріті фахівцями та зі своїми клієнтами переважно доводиться в спілкуванні на дану тему використовувати російську - Київ, сам розумієш .
Вівторок, 13:07 10.08.2010
Ще не вернувся і напевно в найближчі 2 місяці його не буде. Прикладати зусиль кажеш ) То почни з себе говори з клієнтами і секюріті менами по українськи . Я чудово знаю що в київі говорять по російське більша частина жителів, але вони прекрасно розуміють українську !! (це тобі не росіяни , до яких пишеш по укр ,а вони “непанімаю пиши по руске” _))_ )
Вівторок, 15:28 10.08.2010
Проект знову періодично недоступний. Чи то глюки з хостингом чи з чим іншим…database error
Вівторок, 23:53 12.10.2010
Так, проблеми з доступом до hackua.com іноді трапляються. Сам з цим стикаюся. Як з виведенням повідомлення про помилку, так і з тормозами, або повною недоступністю (як коли на них була DDoS атака торік, так і в інші дні - можливо сервер не витримує напливу відвідувачів). Але я рідко там буваю, тому й рідко з цим стикаюся.
Зараз сервер працює нормально .
Четвер, 23:15 14.10.2010
525, саме так . Хай кожен прикладає зусилля і тоді ситуація зміниться. Те, що за більше як 19 років незалежності України, не стали використовувати українську мову на всіх рівнях, то це знака того, що мало зусиль прикладали.
Тому треба працювати над цим. Не на інших кивати, мовляв ти першим зроби щось, а потім вже я, а самому наполегливо працювати. І тим самим показувати приклад іншим.
Я давно вже почав з себе. Перевів наприкінці 2002 року свій перший сайт на українську, а з червня 2006 (офіційний запуск відбувся в липні) - запустив даний свій проект на українській мові. Й на будь-які прохання і пропозиції зробити версію сайта на російській я не звертаю уваги і дотримуюся обраного шляху.
Так що справа за іншими людьми . А з клієнтами і секюріті діячами в Україні я спілкуюся на українській, якщо вони того хочуть. Якщо ж вони хочуть на російській, то без проблем. В даному випадку я не пресенгую (особливо стосовно клієнтів - тут пресинг не прийнятний). А клієнти трапляються різні й з роками все більше україномовних.