Уразливості в PHPShop
15:04 06.11.201008.09.2010
У квітні, 18.04.2010, я знайшов Insufficient Anti-automation, Cross-Site Scripting, Denial of Service та Full path disclosure уразливості в PHPShop (це движок для онлайн магазинів). Дані уразливості я виявив на сайті bezpeka.kr.ua. Про що найближчим часом повідомлю розробникам.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
06.11.2010
Insufficient Anti-automation:
http://site/users/register.html
На даній сторінці використовується уразлива капча.
http://site/users/sendpassword.html
На даній сторінці немає захисту від автоматизованих запитів (капчі).
XSS (з обходом капчі):
DoS:
http://site/search/?words=.&p=all&cat=0
Full path disclosure:
http://site/page/’
Уразливі PHPShop 2.1 EE та попередні версії (й потенційно наступні версії).
Четвер, 14:05 09.09.2010
Кстати а почему не описали каким образом ваш блог на днях взломали?)
Интересно все же, это был один из приватных багов вордпреса или что-то другое
Четвер, 16:06 09.09.2010
Я обязательно об этом сделаю официальное заявление. Но вначале дождусь ответа от моего хостера по поводу того, какой сайт на сервере был взломан и какой (дырявый) движок там был - через который удалили все файлы на моём сайте.
Я ожидал, что они вчера мне предоставят официальный ответ (помимо того, что они с бекапа востановили мой сайт) и соответственно я вчера бы сделал завление по этому поводу. Но ни вчера они этого не сделали, ни пока что сегодня не ответили мне (сегодня я ещё раз им об этом напомнил). Так что как только я получу ответ от хостера, я напишу по поводу данного инцедента.
Если ты сам ещё не предположил вектор атаки, то я тебя проинформирую (о чём я детально напишу в своём официальном заявлении). Что атака на мой сайт была проведена через дырявый сайт на том же сервере (и к этому сайту я не имею никакого отношения). После взома которого, злоумышленник добрался до моего сайта и удалил контент.
На своём сайте я не держу дыр, которые бы могли использоваться для взлома. Поэтому атака через взлом сервера через другой сайт - это то, о чём я подумал сразу же. И после изучения логов, я это лишь подтвердил - в моих логах нет никакой активности данного злоумышленника. Поэтому вся атака шла через другой сайт и я жду детальной информации от хостера по поводу этого сайта.
Четвер, 18:13 09.09.2010
Это понятно что через другой сайт возможно. но думал мало ли, не все же можно углядеть )
А так да, лучше держать по возможности сайт изолированно, а то всегда есть шанс ломануть через соседний сайт
Четвер, 21:17 09.09.2010
РУДИМЕНТ
Пока от хостера никого ответа и никакой информации о взломанном сайте не получил.
Я всегда стараюсь всё углядывать . Это требует больших усулий и затрат времени, но я всегда это делаю (и регулярно нахожу дыры на своих сайтах, в том числе в вечно-дырявом Вордпресе, и ругулярно их исправляю - ясное дело это требует вдвое больше времени, чтобы найти дыры и чтобы исправить их).
Естественно. Но это актуально лишь для людей которые могут себе купить vds, ds или collocation (например, это актуально для e-commerce проектов). Большинству людей это не по карману или просто не нужно - сам я в основном пользуюсь шаред хостингами для своих сайтов.
Что интересно, данный сервер - это отдельный сервер (на колокейшене), т.е. я как бы на шаред хостинге на колокейшен сервере. Т.е. по сути имеется определённая изоляция . Но она оказалась недостаточной, т.к. у соседних сайтов на сервере (сайтов моего хостера) имеются дыры. Т.е. “ненадёжная изоляция” оказалась . Так что лучший вариант - это иметь исключительно только свои сайты (не дырявые) на сервере.
P.S.
По поводу данного инцидента написал в новостях.