Уразливості на acunetix.com
22:55 11.01.2007Раніше я згадував, що XSS набирає обертів. Тоді виникла цікава ситуація: секюріті компанії F5 та Acunetix знайшли XSS уразливості на сайті один одного (кожна знайшла діри на сайті свого конкурента). І після цього обидві компанії почали заперечувати наявність уразливостей на їх сайтах. Бо не могли сказати ні собі ні всьому світу, що на їх сайтах були секюріті уразливості - на сайтах компаній, які займаються безпекою. Після чого секюріті спільнота знайшла чимало дір на сайтах цих компаній - що визвало додаткову бурю емоцій. Компаніям намагалися пояснити те, що не варто відрикатися від дір чи приховувати їх, треба діри виправляти.
Тоді обидві компанії пофіксили всі знайдені діри, по їх словам (це вони так думали). І на деякий час розслабилися, зокрема Acunetix. І з тоді вже весь гомін припинився, вже всі позабули про той випадок. Поки я не дістався (в жовтні) до сайта відомої секюріті компанії 
, щоб знайти масу різних уразливостей, про що зараз вам і повідомляю. Це свіжий погляд на безпеку сайтів секюріті компаній (про подібні випадки я неодноразово згадував в записах Безпека сайтів про безпеку та Безпека сайтів про безпеку 2).
У жовтні, 03.10.2006, я знайшов численні уразливості на http://acunetix.com - сайті відомої секюріті компанії Acunetix (зокрема на сайті http://test.acunetix.com - призначеному для тестування їх власного сканера безпеки Acunetix WVS). Уразливостей різних чимало: Cross-Site Scripting, Full path disclosure, SQL Injection, File Inclusion, Directory Traversal, Script Source Disclosure та Information Leakage (зокрема, уразливості дозволяють дістатися до довільних файлів на сервері). Про що найближчим часом сповіщу адміністрацію компанїї.
Детальна інформація про уразливості з’явиться пізніше.
П'ятниця, 23:35 12.01.2007
Ну так і публікував би дірки на цих сайтах відразу не чекаючи закриття. Може тоді позбавилися б свого снобізму.
Субота, 17:56 13.01.2007
trovich, в мене підхід такий - в моїй діальності соціального секюріті аудита. Причому підхід однаковий до всіх. За винятком деякий сайтів, де я повідомивши заздалегіть, публікую на сайті одразу повну інформацію. Або у випадку сайтів спецслужб американський, де я одразу писав деталі, бо АНБ-ки за півроку так і не відреагували на моє повідомлення і не виправи уразливість (тому ФБР-ці і ЦРУ-ки нехай самі фіксять і самі слідкують за новинами в мене на сайті).
Тому я стараюся завжди всім давати можливість виправати діри. І секюріті діячі повинні швидше реагуваті і виправляти діри на своїх сайтах (їм повинно бути соромно з цього приводу, бо безпека - це їх основна діяльність). Але на жаль це буває не завжди, деякі не реагуть зовсім.
Ну а щоб користувачі різних секюріті сканерів могли зробити коректний вибір
(вибрати кращий сканер, або взагалі замість використання сканерів звернутися до спеціалістів за секюріті аудитом), для цього я і публікую подібну інформацію. Також треба розуміти, що подібні дані (деталі про конкретні уразливості) можуть не відповідати законодавству тої чи іншої держави. В тому числі дані компанії можуть на мене образитися і подати на мене до суду. В будь-якому випадку сваритися з будь-ким в мене немає бажання.
P.S.
Ну а компанія Acunetix доволі швидко відреагувала на моє повідомлення (не забувши подякувати, на відміну від деяких інших). Та судячи з іх листа, вони перенервували з цього приводу
і їм дуже не сподобався цей запис на моєму сайті (але це їх проблеми). Сподіваюся, надалі вони будуть більше слідкувати за безпекою власних сайтів.
Субота, 21:44 13.01.2007
А-ха-ха, їх ше мабуть налякав мій суворий комент на додачу