Уразливості на codecamp.org.ua
15:20 11.09.201021.04.2010
Нещодавно, 17.04.2010, я знайшов Cross-Site Scripting та Full path disclosure уразливості на http://codecamp.org.ua - офіційному сайті конференції CodeCamp 2010. Про що найближчим часом сповіщу адміністрацію сайта.
Про уразливість на сайті Glaive Security Group (організаторів конференції), я вже згадував раніше. Як і торік, уразливість на сайті я виявив ще до початку конференції. І як і того разу, уразливість має місце на сайті на WordPress (і це не єдина уразливість, враховучи всі ті уразливості в WP про які я писав).
Зазначу, що CodeCamp - це конференція на тему інформаційної безпеки. І як я вже неодноразово писав стосовно сайтів конференцій, особливо на тему безпеки (останнього разу стосовно конференції про безпеку бізнесу), що дуже несерйозно проводити секюріті конференцію маючи дірявий сайт.
Детальна інформація про уразливості з’явиться пізніше.
11.09.2010
XSS:
Full path disclosure:
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/gs-for-wordpress.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/login.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/help.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/invite-friends.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/settings.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-connected.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-control.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-not-connected.php
http://codecamp.org.ua/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-not-logged-in.php
Якщо Full path disclosure вже виправлені, то XSS досі не виправлена.
Четвер, 09:08 22.04.2010
Ага, я її теж бачив, я думаю ми про одну й ту саму говоримо, але поки тут писати не буду
Четвер, 09:11 22.04.2010
До речі я їм вже писав, шось ніхто не реагував
Четвер, 16:28 22.04.2010
Dementor
Дана XSS уразливість наявна в плагіні до WordPress, що використовується на codecamp.org.ua. І про дірки в даному плагіні я сьогодні зроблю окремий анонс.
Ситуація подібна до попередньої: торік я також знайшов дірку на сайті Glaive Security Group в плагіні для WP, і цього разу нові дірки в іншому плагіні для WP (вже на сайті CodeCamp). Це вже на кажучи про численні дірки в WP, про які писав в себе на сайті, і які є на codecamp.org.ua.
Зазначу, що це популярний компонент, що використовується на багатьох сайтах (і всі вони вразливі). За статистикою wordpress.org, даний компонент був викачаний лише з їхнього сайта 18170 разів. До речі, сьогодні, коли я шукав інформацію про назву цього комонента і його розроблників, я виявив ще численні Full path disclosure уразливосіт в даному компоненті, які також наявні на codecamp.org.ua. Як і на всіх інших сайтах, що використовують даний компонент і адміни яких самі не виправляють FPD на своїх сайтах.
Четвер, 16:42 22.04.2010
Дуже дивно, якщо ти їм про цю XSS писав, вони повинні були її виправити. Все ж таки Glaive - це Security Group (хоча й про створення дірявих сайтів вони також не забувають, що є звичним явищем для секюріті груп, компаній та проектів).
Подивимося, чи виправлять вони (і якщо так, то наскільки швидко) дані уразливості після того, як я їм повідомлю.
За звичай, власники дірявих сайтів секюріті конференцій виправляють дірки після мого повідомлення (частіше ніж власники сайтів інших конференцій), хоча й бувають виключення. Але в будь-якому разі, як я вже неодноразово зазначав, для організаторів секюрті конференцій дуже несерйозно мати дірки в себе на сайті. Як на проведення секюріті конференції, то вони час і гроші мають, а як на забезпечення безпеки свого сайту, то вже не мають - що дуже несерйозно.
Четвер, 20:20 22.04.2010
У всьому тобою вище сказаному повністю погоджуюся, нема що сказати. На жаль такі виключення трапляються доволі таки часто.
Понеділок, 23:39 26.04.2010
Так, такі виключення трапляються часто (і з таким темпом вони з часом можуть стати правилом). Але у випадку codecamp.org.ua все не так сумно.
Вже на наступний день після нашої розмови, вже вночі 23.04.2010, я перевірив ці дірки в них на сайті й виявив, що вони їх виправили (але не всі ). Так що за добу (навіть пів доби) вони впоралися (ще б всі дірки виправили) - це цілком нормальна швидкість для виправлення уразливостей (враховуючи, що вони не критичні).
Ненормально в даному випадку мати дірки на сайті секюріті конференції - що нажаль дуже типово як для України, так і для інших країн (я багато разів писав про дірки на сайтах секюріті конференцій). Ну і спасибі написати вони також забули - що є звичним явищем, як я вже зазнав.
Вівторок, 11:50 27.04.2010
Як я тільки що перевірив, XSS там як була, так і залишилася. А таку вразливість треба б закрити, та і дійсно, все таки секюріті конференція
Вівторок, 23:20 27.04.2010
Якщо ми говоримо про ту саму дірку (в плагіні Gigya Socialize для WordPress), то так і є. XSS до сих пір не виправлена, при тому, що виправлені всі Full path disclosure (9 FPD).
Чому така вибірковіть і чому вони не виправили XSS, це вже до них питання . Може вони вміють тільки FPD виправляти, а не XSS, або ж просто люблять XSS дірки на своїх сайтах (згадай торішню уразливість на їхньому сайті, про яку я писав вище).
Може колекціонують їх . Мабуть вважаюють, що для сайтів секюріті конференцій дірки (особливо XSS) - це обов’язковий атрибут. І не вони одні так вважають, що добре видно з моїх новин. Вони молодці, що хоч 9 з 10 дірок (в даному плагіні) виправили.
Вівторок, 23:34 27.04.2010
та взагалі то я зараз кажу про XSS в реєстрації http://codecamp.org.ua/wp-login.php?action=register
Вівторок, 23:49 27.04.2010
Ну це, як я зрозумів, і є меню реєстрації цього плагіна
Четвер, 23:57 29.04.2010
Dementor
Я кажу про XSS на головній сторінці. На сторінці реєстрації саме цієї дірки немає, реєструватися на сайті я не став (про що писав раніше ZEXEL-ю), тому й на форму реєстрації я уваги не звертав (лише глянув, що там є Insufficient Anti-automation уразливість ).
Так що це інша дірка. На сторінці реєстрації немає дірки від Gigya Socialize, а дана форма реєстрації, що не є стандартною формою реєстрації WP, зроблена якимось іншим плагіном (вірогідно Register Plus, який є в них на сайті).
Ні, це не форма плагіна Gigya Socialize. Тому й дірка стосується іншого плагіна (схоже, що Register Plus).
П'ятниця, 09:02 30.04.2010
Зрозумів ,я просто того плагіна (Gigya Socialize) не юзав, не знаю шо воно таке. Ну значить там ще є дірки)) Я то теж не реєструвався, а реєструватися і не треба, просто веди в поля давно відомий запит (”>alert(document.cookie)) і побачиш Я їм , власне, про цю XSS писав, шось не відреагували.
Неділя, 23:57 02.05.2010
Я теж плагіна Gigya Socialize не юзав, як і Register Plus - вперше їх зустрів саме на codecamp.org.ua. І виявляється, що це популярні плагіни, особливо Gigya Socialize (може я його раніше й бачив на інших сайтах, просто не цікавився, який саме це плагін).
Але обидва плагіни діряві . І в обох них адміни не поспішають виправляти XSS дірки (лише FPD виправили в першому плагіні). Як я вже казав, може вони не вміють виправляти XSS, а лише FPD дірки - тому й така вибірковість. Але це не правильний підхід, що може призвести до взлому сайту і до розміщення на ньому вірусів, або лінків, як це полюбляють робити black SEO. Тому XSS уразливості завжди потрібно виправляти.
Я розумію , просто раз не став реєструватися, то не став й дивитися на сторінку реєстрації. Зато відвідавши головну сторінку сайту знайшов XSS . До речі, коли ти кажеш про XSS в формі реєстрації, то ти маєш на увазі одразу кілька XSS? Бо я щойно виявив одразу 4 XSS (в 4 полях). Так що цей плагін достатньо дірявий.
До речі, ти можеш детально дослідити цей плагін Register Plus і написати одразу про всі XSS і FPD в ньому його розробникам. І в себе новину зробиш про уразливості в даному плагіні для WP (подібно до того, як я регулярно роблю записи про уразливості в різних плагінах).
Понеділок, 00:39 03.05.2010
так, я маю на увазі 4 XSS вразливості в тому плагіні. А на рахунок того, що вони їх не вміють виправляти чи колекціонують, то мабуть таки правий, іншого нічого в голову просто не приходить, навіть не подякували, як, власне, і тобі))
П'ятниця, 23:41 17.09.2010
Саме так - не подякували за повідомлення про дірки, не виправили всі дані дірки. Що дуже несерйозно, особливо для секюріті сайта.
До речі, Dementor, в травні я тобі пропонував написати про різні дірки в цьому плагіні (як XSS, що ти знайшов, так і FPD). Тобі я бачу це не дуже цікаво. Як ти ставишся до того, що я напишу про дірки в цьому плагіні (а також повідомлю розробника). І про XSS і про всі інші (при цьому я згадаю стосовно XSS, що ти їх знайшов першим).
П'ятниця, 23:44 17.09.2010
Я не проти щоб ти опублікував дані дірки, хоча скажу, що розробник був про них поінформований, але чомусь ніякої реакції я не побачив.
П'ятниця, 23:46 17.09.2010
Добре, найближчим часом зроблю анонс цих уразливостей.