Уразливості на hackua.com

15:17 31.07.2010

15.12.2009

У квітні, 24.04.2009, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://hackua.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

31.07.2010

Abuse of Functionality:

Логіні користувачів є їх іменами на форумі, що дозволяє визначити логіни в системі.

Abuse of Functionality:

На сторінці http://hackua.com/register.php?do=register в полі Логін можна визначити логіни користувачів в системі. Це також можна зробити через POST запит до скрипта http://hackua.com/ajax.php. Дана уразливість дозволяє провести Login Enumeration атаку.

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.

Insufficient Anti-automation:

http://hackua.com/sendmessage.php?do=sendtofriend&t=1001

http://hackua.com/sendmessage.php

http://hackua.com/register.php?do=register

На даних сторінках наявна слабка текстова капча (коли потрібно ввести лише одну і ту саму фразу).

Дані уразливості досі не виправлені.


10 відповідей на “Уразливості на hackua.com”

  1. Dementor каже:

    http://hackua.com/sendmessage.php
    Оце скоріше помилка Vbuletin, бо воно на всіх форумах.

  2. MustLive каже:

    Це все уразливості в vBulletin. Бо на hackua.com використовується vBulletin. В різних версіях форумного движка може бути різний функціонал і тому можуть бути різні дірки з вищенаведених, дані дірки стосуються vBulletin 3.8.0.

  3. 525 каже:

    Невиправлені бо адміна нема , недавно сайт непрацював видно хтось похекав ..

  4. MustLive каже:

    525

    Так, сайт hackua.com нещодавно непрацював - були якісь проблеми на сервері. Адмін сайта мені про це нічого не повідомляв.

    Невиправлені бо адміна нема

    Адмін є. Я з ним знайомий і багато доводилося спілкуватися (в останнє говорив з ним наприкінці травня). Але він вирішив ці дірки не виправляти, мовлял це його цілком влаштовує - зокрема текстові капчі (з фіксованим тестом) його задовільняють своєю ефективністю. Хоча на мій погляд вони є дуже слабкими і варто використовувати або рендомні текстові капчі, або звичайні капчі-зображення (що краще).

  5. 525 каже:

    Я говорив саме за цей період він поїхав в америку , тому пишу що нема . Нажаль форум розвалюється , дуже приємно було зустріти в інтернеті такий ресурс на українські мові ) Що до websecurity.com.ua також подобається , дякую амінам за проект , надіюсь таки в майбутньому ця сфера діяльності перейди хоч трохи на українську)

  6. MustLive каже:

    Так, він мені саме так і сказав, що в Америку поїде. Але з тих пір більше в асьці його не бачив, тому не знаю, чи він вже повернувся.

    Що до websecurity.com.ua також подобається , дякую амінам за проект

    Будь ласка. До речі, я один адмін :-) (як це має місце у випадку всіх моїх веб сайтів і веб проектів, за виключенням мого форуму по флешу, де ми спільно зробили форум для трьох сайтів).

    надіюсь таки в майбутньому ця сфера діяльності перейди хоч трохи на українську)

    Будемо на це сподіватися. І я зі своєї сторони буду прикладати для цього зусилля. Справа по трохи рухається в цьому напрямку, але в офлайні з секюріті фахівцями та зі своїми клієнтами переважно доводиться в спілкуванні на дану тему використовувати російську - Київ, сам розумієш ;-) .

  7. 525 каже:

    Ще не вернувся і напевно в найближчі 2 місяці його не буде. Прикладати зусиль кажеш ) То почни з себе говори з клієнтами і секюріті менами по українськи . Я чудово знаю що в київі говорять по російське більша частина жителів, але вони прекрасно розуміють українську !! (це тобі не росіяни , до яких пишеш по укр ,а вони “непанімаю пиши по руске” _))_ )

  8. Dementor каже:

    Проект знову періодично недоступний. Чи то глюки з хостингом чи з чим іншим…database error

  9. MustLive каже:

    Так, проблеми з доступом до hackua.com іноді трапляються. Сам з цим стикаюся. Як з виведенням повідомлення про помилку, так і з тормозами, або повною недоступністю (як коли на них була DDoS атака торік, так і в інші дні - можливо сервер не витримує напливу відвідувачів). Але я рідко там буваю, тому й рідко з цим стикаюся.

    Зараз сервер працює нормально :) .

  10. MustLive каже:

    Прикладати зусиль кажеш )

    525, саме так :-) . Хай кожен прикладає зусилля і тоді ситуація зміниться. Те, що за більше як 19 років незалежності України, не стали використовувати українську мову на всіх рівнях, то це знака того, що мало зусиль прикладали.

    Тому треба працювати над цим. Не на інших кивати, мовляв ти першим зроби щось, а потім вже я, а самому наполегливо працювати. І тим самим показувати приклад іншим.

    То почни з себе говори з клієнтами і секюріті менами по українськи.

    Я давно вже почав з себе. Перевів наприкінці 2002 року свій перший сайт на українську, а з червня 2006 (офіційний запуск відбувся в липні) - запустив даний свій проект на українській мові. Й на будь-які прохання і пропозиції зробити версію сайта на російській я не звертаю уваги і дотримуюся обраного шляху.

    Так що справа за іншими людьми ;-) . А з клієнтами і секюріті діячами в Україні я спілкуюся на українській, якщо вони того хочуть. Якщо ж вони хочуть на російській, то без проблем. В даному випадку я не пресенгую (особливо стосовно клієнтів - тут пресинг не прийнятний). А клієнти трапляються різні й з роками все більше україномовних.

Leave a Reply

You must be logged in to post a comment.