Уразливість в Переходи для DataLife Engine

19:12 23.04.2010

11.02.2010

У червні, 29.06.2009, я знайшов Cross-Site Scripting уразливість в модулі Переходи для DataLife Engine (DLE). Уразливість виявив на сайті http://kinozalka.com, що використовує даний модуль для движка DLE. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в Tagcloud для DLE.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

23.04.2010

XSS:

Це persistent XSS уразливість. Що дозволяє провести атаку через заголовок Referer, у випадку коли на сайті виводяться лінки на безпосередні запити в пошукових системах.

Referer: http://www.google.com/search?q=xss"><script>alert(document.cookie)</script>

Уразливі Переходы v.6.9 та попередні версії.


6 відповідей на “Уразливість в Переходи для DataLife Engine”

  1. my3uka каже:

    Цікаво скільки часу ти тратиш на це все, щоб дізнатись про всякі там вразливості і тому подібне. Я інколи не встигаю всі свої RSS підписки перечитати, а тут по пару публікацій в день чуть не появляється….

    П.С. Тиб ще робив подкасти і там показував на реальних прикладах, тобі тоді ціни не було б…. 8O

  2. MustLive каже:

    Цікаво скільки часу ти тратиш на це все

    my3uka

    Щодня витрачаю багато часу. І за більше п’яти років, що я займаюсь web security, я витратив на це дуже багато часу - і з кожним роком я все більше часу щоденно витрачаю на це. Але переважно все це насмарку, як я вже раніше зазначав в своїх постах і коментах, бо майже ніхто (особливо в Уанеті) не дослухається до моїх порад і звернень. І майже всі продовжують ігнорувати безпеку власних сайтів та веб додатків.

    а тут по пару публікацій в день чуть не появляється….

    Це є таку задачу перед собою ставлю - норматив на кількість постів на добу - і виконую її (я завжди виконую задачі, які собі ставлю). Ще в 2006 році, як мій сайт розпочав роботу, я йшов від невеликої кількості постів до 4 постів на добу. В 2007 я поставив норматив 5 постів на добу. А в 2008, коли вже не мав достатньо часу на це, поставив норматив 4 пости на добу - і тримаю його по сьогодні.

    тобі тоді ціни не було б….

    Ну мені й так ціни немає :-D . Як і тобі, і всім людям - бо всі люди безцінні. З іншої сторони, в наш час як один з варіантів оцінки “ціни” людини використовується вартість її часу (тобто скільки людина за годину заробляє - $/годину). І відповідно чим більше у людини зарплата, тим дорожчий її час.

    Стосовно ж реальних прикладів, то я часто розглядяю і питання захисту, і питання виявлення уразливостей і атак на сайти на реальних прикладах. Це я роблю в Посібнику з безпеки, в своїх статтях та дослідженнях (в тому числі в публікуємих відеороликах). А в грудні 2009 року вийшов один подкаст з моєю участю ;-) .

  3. my3uka каже:

    слухай я вже якось тебе питав раніше на форумі хакюа…але ти відписав, що мало там часу проводиш. Отже у мене назріла ідея (вона назріла давно, ще коли прочитав твою статтю на ай.уа - про хакерство, захист і тому побідне) я так би мовити нуб в веб програмуванні. За весь час роботи з сайтами я вивчив ХТМЛ навіть був в маленькому редакторі, сидячи в себе на старій роботі де не було до недавно інтернету написав свій сайтик повністю на ХТМЛ (це не в цілях реклами просто так, щоб ти глянув http://my3uka.freetzi.com) от до РНР скільки невізьмусь. щось руки нескладаються, чи то лінь перемагає, чи то просто нема кому мене хоть трішки навчити. На даному етапі життя хочу поміняти свою роботу - яка приносить мені в місяць 785 грн (так це правда). Живу в маленькому містечку до 10 тис населення. Про що я веду.
    Роботу я хочу поміняти на роботу з веб порграмування оскілки бачу як активно розвиваєть інтернет. можливості які він дає і хочу бути в цьому розвитку не втратити свій шанс. Освіта в мене бухгалтера-економіста, що трохи не відповідає веб-програмісту. Так хватить вже про мене 8O .

    Тепер питання до тебе чи хотів би ти зробити які уроки в себе і чому навчити, мається на увазі дати старт. Зібрати якусь свою команду якаб плідно працювала разом і приносила на початку хоть невелекий але якийсь прибуток. Поки я похвалитись не маю чим сам поставив 2 блоги на друпалі і 1 форум пхпбб. Ніби загальне поняття в РНР маю, але читати якусь електронну літературу шось не дуже мене цікавить оскільки там трохи складно написано - щоб ти порекомендував? Я закачав уроки Попова про створення сайта за допомогою РНР і мускула, але там він розказує як програміст і думає, що люди які будуть його слухати зразу в’їдуть в суть, але це не так. Витись маю бажання бо життя за 785 грн це виживання.

    П.С. так багато написав незнаю чи ти шось зрозумієш :mrgreen: . Ну це моя така пропозиція, ти подумай :idea: . Я готовий працювати разом…. тільки от нема кому на правильний шлях поставити 8)

  4. my3uka каже:

    який зараз найнадійніший CMS зараз. В основному я користуюсь друпалом, жумлою, ВП, php-fusion?

  5. MustLive каже:

    my3uka

    Не хвилюйся, на всі твої повідомлення я відповім.

    який зараз найнадійніший CMS зараз.

    На дану тему я вже писав в 2007 році в записі Найбільш безпечний движок для сайта. І як я неодноразово зазначав всім тим, хто мене питає про безпечні движки - найбільш надійний движок той, який безпечний. Тобто у якого проведений аудит безпеки. Так що з любого движка можна зробити безпечний, головне провести його аудит і виправити всі знайдені дірки.

    Стосовно вказаних тобою движків, то у всіх них я знаходив дірки, про що писав в новинах, як і про чисельні дірки в даних движках (і плагінах до них), знайдених іншими секюріті дослідниками. Тому з будь-якою з цих CMS (як і з будь-якою іншою CMS) потрібно слідкувати за безпекою - і знаходити і виправляти всі наявні дірки в CMS і плагінах до неї, що викорустовуєш на власному сайті.

  6. MustLive каже:

    my3uka

    Стосовно безпеки движків я вже написав тобі раніше, а зараз відповім щодо іншого питання.

    ще коли прочитав твою статтю на ай.уа - про хакерство, захист і тому побідне

    На i.ua я статей не писав. Вони могли з інших сайтів чи журналів взяти (де я публікував свої статті), але безпосередньо для їхнього сайта я статей не писав.

    Роботу я хочу поміняти на роботу з веб порграмування

    Що ж, успіхів тобі у цьому. Це напрямок перспективний (головне про безпеку не забувати, як це робить 99% веб розробників). Так що до твоїх знань html додай ще знання з веб програмування (вивчи будь-яку мову призначену для цього, наприклад, PHP - найбільш популярну мову в веб програмуванні) і починай працювати.

    чи хотів би ти зробити які уроки в себе і чому навчити

    Я не займаюся навчанням людей програмуванню. Ні веб, ні класичному (в тому числі я відмовився під пропозицій мого університета і КПІ викладати програмування в цих навчальних закладах). В себе на сайті я навчаю людей веб безпеці, і окрім моїх постів я також розробив Посібник з безпеки та Онлайн тестування.

    Зібрати якусь свою команду

    Цього робити не планую, як я відповідаю всім, хто про це питає (ні для проектів з веб програмування, ні з веб безпеки). Власних комерційних проектів в мене більш ніж вистачає - в яких я працює сам. Тому ти також можеш створити власні комерційні проекти і працювати в них.

Leave a Reply

You must be logged in to post a comment.