Уразливості на webmanager-pro.com

15:09 10.12.2010

19.04.2010

У жовтні, 10.10.2009, я знайшов SQL Injection та Redirector уразливості на сайті http://webmanager-pro.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

10.12.2010

SQL Injection:

http://webmanager-pro.com/c.php?id=1%20and%20version()=5

Redirector:

http://webmanager-pro.com/c.php?id=1&url=http://websecurity.com.ua

Якщо SQL Injection уразливість вже виправлена, то Redirector досі не виправлена.


12 відповідей на “Уразливості на webmanager-pro.com”

  1. Dementor каже:

    Ото після такого http://hackzona.com.ua/forum/showpost.php?p=674&postcount=28 помагай потім людям…

  2. MustLive каже:

    Dementor

    Так, невиховані люди зустрічаються (вони є як в офлайні, так і в онлайні), але хай тебе це не зупиняє ;-) .

    Власнику даного сайту, як стосовно opensource.com.ua, так і стосовно інших його сайтів, ти можеш більше не допомагати, раз він нахамив тобі. Або взагалі ігноруй його сайти, або якщо находиш дірки, то одразу роби їх full disclosure. Але не варто закидати справу допомоги людям (з покращенням безпеки їхніх сайтів) із-за подібних інцидентів. Не всі адміни хами, є й виховані та вдячні люди.

    Стосовно юридичних аспектів даної діяльності (по пошуку і оприлюдненню уразливостей на сайтах), то прочитай мою статтю Хакінг веб сайтів, секюріті дослідження, оприлюднення та законодавство (якщо ще не читав). І можеш на неї зсилатися у розмові з тими, хто намагається тебе безпідставно звинувачувати - нехай покращують свої знання з даної теми.

  3. Dementor каже:

    Та я не зважаю, просто трохи неприємно було. те, що йому більше не допомагатиму так це точно. А статтю твою читав, мені сподобалася. В себе на сайті опублікую. :)

  4. MustLive каже:

    Ну перепубліковувати всю статтю не потрібно :-) . Можеш просто згадати в новині про статтю та зробити лінку на неї, або зробити огляд статті, подібний до оглядів, що я періодично роблю в себе на сайті.

  5. MustLive каже:

    Та я не зважаю, просто трохи неприємно було.

    Загартовуй себе ;) , бо соціальний секюріті аудит - це невдячна справа. І невихованих людей є чимало, що за безкоштовну допомогу з безпекою їхніх сайтів не тільки спасибі не скажуть, а щей облають.

    Коли я тебе останній часом агітував займатися соціальним аудитом, то я ж не казав, що все буде просто. І на вдячність осибливо розраховувати не доводиться (особливо в Уанеті, де рівень культури адмінів сайтів в середньому набагато нижчий ніж в інших частинах Мережі). Це я знаю з власного досвіду.

    З невдячністю адмінів я стикнувся ще в 2005 році. І тому й створив свій сайт, щоб використовувати Просунуте відповідальне оприлюднення уразливостей. І як активно почав в 2006 році займатися соціальним секюріті аудитом, то я одразу почав стикатися з ігноруванням, невдячністю, ламерськими заявами, лайками і навіть погрозами. Цього всього за 2006-2010 роки я начувся достатньо. Так що з ситуаціями, подібних до наведеного тобою прикладу, я багато стикався на власному досвіді, тому просто не звертай на це увагу.

  6. Dementor каже:

    То добро що вони з України, а то про дірки я, як правило, повідомляю тільки українським сайтам (є і виключення), ну інколи російським, не завжди я публікую вразливість чи повідомляю про неї, бува що часто експлуатую й сам. Тому я й казав що деякі мої хаки хороші, а деякі погані, і поганпх багато, так вже склалися обставини.

  7. MustLive каже:

    Dementor

    Ну можна ж експлуатувати дірки на сайтах, з метою повідомлення адмінів про дірявість їхніх сайтів :-) . Чим я іноді займаюся і я називаю це добрим хаком.

    Ну, а щоб поганих хаків в тебе було поменше, то ти “добрішай” - роби більше хороших хаків або звичайних повідомлень адмінам про дірки на сайтах. Щоб відсоток поганих хаків в загальній статистиці в тебе був невеликий.

  8. Dementor каже:

    Знаєш, якщо чесно пробував, ото мені всі вже давно кажуть що я злий, ну шось воно не виходить в мене, в УАнеті рідко когось трогаю, своїх то повідомляєм-с, а другим уже як перепаде :)

  9. Dementor каже:

    або от бува просто гроші потрібні, от, наприклад, зараз я тимчасово безробітний, сім’ю годувати треба, а за погані хаки заплатять більше за добрі.

  10. MustLive каже:

    ну шось воно не виходить в мене

    Старайся краще :-) .

    Це добре, що в Уанеті рідко кого трогаєш (тобто якщо займаєшся поганими хаками, то тільки на іноземних сайтах). Але рідко - це не значить завжди, та й можуть заплатити і за кримінал на українських сайтах. До того ж в інших країнах теж люди живуть. Тому регіональний аспект не є виправданням. І завжди враховуй моральний аспект справи ;-) .

    або от бува просто гроші потрібні

    Так коли потрібні гроші, треба їх заробляти, а не криміналом займатися. Про те, що кримінальний кодекс потрібно шанувати, я вже писав тобі раніше. Чи займатися кримінальним хакерством, чи ні - це твоя справа, але сам я завжди від подібних пропозицій відмовлявся.

    а за погані хаки заплатять більше за добрі.

    За добрі хаки за звичай взагалі не заплатять. Якщо хакнути сайт, щоб повідомити адміна, то це безкоштовна акція. Як я знаю з власного досвіду, рідко хто з адмінів сайтів, про дірки яким повідомив (чи сайти похакав), замовляють аудит безпеки. Тому єдина можливість заробляння на добрих хаках сайтів - це проведення аудиту. І як показує мій досвід, що в 2006, що зараз в 2010 цей напрямок майже не йде (тобто в Україні на даних послугах особливо не заробиш).

  11. Dementor каже:

    тут з тобою згоден, замовлень на аудит теж майже немаю. Хоча от фірма замовила після того, як я найшов декілька дірок в їх сайтах.
    В принципі я не вважаю це(злом сайту) якимось криміналом, от коли йде вивід грошей з банку то так, це кримінал. А доступ до чогось для мене задоволення або заробіток (коли як). Бо ж Information must be Free
    Хоча, звичайно, цн особиста думка кожного і кожен дивиться на певну ситуації з того чи іншого боку. Так що тут ще можна спорити з владою що є кримінал, а що ні.

  12. MustLive каже:

    Так, в мене іноді бувають такі випадки, коли після знайдення дірок на сайті, його власники замовляють аудит. Але в основному в мене всі клієнти самі звертаються за аудитом, не чекаючи поки я чи інші люди знайдуть в них на сайті дірки. А з тих людей, на сайтах яких я знайшов дірки і вони поцікавилися аудитом (а таких небагато в загальній кількості), лише 1% в подальшому звертаються за аудитом безпеки. Тому, як я вже казав, поки цей напрямок майже не йде.

    Так що тут ще можна спорити з владою що є кримінал, а що ні.

    Спорити, звичайно можна. Але у влади може бути своя думка з цього приводу і можуть придратися майже на рівному місці (як це видно з деяких нових, про які я писав - коли з маленького хаку роблять велику справу). Тому завджи потрібно бути обережним ;-) .

Leave a Reply

You must be logged in to post a comment.