Нова уразливість на www.uaportal.com

18:16 27.02.2007

05.12.2006

У жовтні, 01.10.2006, я знайшов Cross-Site Scripting уразливість на проекті http://www.uaportal.com - відомому порталі Уанету. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про інші знайдені уразливості на uaportal.com.

Детальна інформація про уразливість з’явиться пізніше.

27.02.2007

XSS:

Дана уразливість досі не виправлена.


4 відповідей на “Нова уразливість на www.uaportal.com”

  1. IrinaStasuk каже:

    Все сайты более или менее уязвимы. Одни люди хотят дать что-нибудь полезное для других людей (я имею ввиду такие порталы, о которых идет речь выше), а другие, не умея что-либо дать - отбирают все “что плохо лежит” у человечества. И при этом, ктати. думают, что они слишком умные. Ум не в том, чтобы навредить - это. по моему мнению признак недоразвитости. Ум в том, чтобы дать другим людям больше, чем считаешь возможным.
    С уважением,
    Ирина
    www.personal-trening.com

  2. MustLive каже:

    Ира. Уязвимости встречаются практически на всех сайтах. Но есть владельцы сайтов которые следят за безопасностью, а есть те которые этого не делают. Как это имеет место в случае UAportal, о котором я многократно писал у себя в новостях, и многократно сообщал его админам об уязвимостях, и они всегда игнорировали мои сообщения и не исправляли уязвимости.

    В данном случае имеет место хроническое игнорирование проблем с безопасностью. И если некоторые другие порталы, уязвимости на которых я находил и сообщал их админам, исправляли дыры и старались в дальнейшем больше следить за безопасностью, то упомянутый в новости UAportal настойчиво этого не делал и не собирается. И хотеть что-то дать другим людям недостаточно, нужно ещё и не подвергать угрозам ни свой сайт, ни его пользователей и посетителей. А при наличии дыр на сайте и нежелании их исправлять, как в случае UAportal, все они подвержены угрозам.

    Ум не в том, чтобы навредить

    Справедливое утверждение. Но вы, Ира, увлеклись философствованием. Одними призывами ненавредить ничего не добьёшся, нужно делать практические вещи. Например, находить уязвимости на сайтах и сообщать их владельцам - чем я активно занимаюсь уже третий год.

    Те кто занимаются криминалом, они не отреагируют на призывы, и будут дальше заниматься деструктивом в Интернете. И только в случае серьёзного подхода админов сайтов по устранению уязвимостей на них (а не преступной халатности, как в случае ЮАпортала), можно изменить ситуацию к лучшему. Стараясь дать людям большее, нужно при этом не давать им вирусов и не подвергать другим угрозам при посещении веб сайтов.

  3. IrinaStasuk каже:

    Я согласна с вами. Но так не хочется тратить время на защиту от вредителей, а делать что-нибудь полезное. Поэтому и хочется надеятся, что программная защита окажется “на высоте”.
    И большое спасибо вам за ваш нелегкий труд, если вы уж взяли на себя такую миссию.
    Только вот что неприятно. Как и в любой защите - чем больше защищаешься, тем более изощренными становятся атаки. И тем профессиональнее (а значит дороже) становится защита. А это опять звучит как вызов для взломщиков… И так по кругу. Где же выход, по-вашему?
    С уважением,
    Ирина

  4. MustLive каже:

    Ирина

    Естественно, работа над сайтом должна быть основной деятельностью, а не постоянное латание дыр в ПО сайта. Но чтобы этого достичь, нужно приложить усилия.

    Но так не хочется тратить время на защиту от вредителей

    Для обеспечения безопасности своего сайта нужно потратить или своё время (и самому найти и исправить все уязвимости), или потратить деньги и нанять профессионалов для этой работы. А в 99%, на данный момент, владельцы сайтов на безопасности экономят - не вкладывая ни времени, ни средств в неё.

    Потому и ситуация такая в Сети сложилась (и очень медленно изменяется). Т.к. по прежнему все экономят на безопасности и не уделяют ей внимания. А если этого не делать, то сами собою веб приложения безопасными не станут. Как известно, без труда не выловишь и рыбки из пруда ;-) . Так что должен измениться подход владельцев сайтов и веб разработчиков к вопросам безопасности, чтобы уменьшить ежедневный поток атак на веб сайты и пользователей.

    Поэтому и хочется надеятся, что программная защита окажется “на высоте”.

    Нужно, чтобы и веб девелоперы и дизайн студии следили за безопасностью своих разработок. Чего они делать пока не спешат. А не думали только о том как урвать денег побольше, как это имеет место сейчас. Как видно из моих новостей, я регулярно нахожу дыры в различных веб приложениях, а также на сайтах веб девелоперов и дизайн студий. И пока не видно, что они начали задумываться об уделении внимания безопасности.

    Как и в любой защите - чем больше защищаешься, тем более изощренными становятся атаки.

    Это извечное противостояние брони и снаряда. В данном случае нужно лишь в защиту вкладывать больше, чем вкладывают в атаку, и тем самым быть на шаг впереди. А выход здесь в изменении человеческих подходов - нужно чтобы люди перестали заниматься плохими делами. А т.к. это является сутью природы человека и за всё время своего существования люди не смогли этого сделать, то остаётся лишь надеятся на защиту.

Leave a Reply

You must be logged in to post a comment.