Уразливості на www.8.uisgcon.org
17:23 15.03.201301.09.2012
У серпні, 16.08.2012, я знайшов численні уразливості на сайті http://www.8.uisgcon.org, зокрема Full path disclosure, Directory Traversal та Cross-Site Scripting уразливості. Про що найближчим часом сповіщу адміністрацію сайта.
Це сайт секюріті конференції UISGCON 8. Торік я виступав з доповіддю на шостій конференції UISG. Якщо сайти сьомої та попередніх конференцій були більш безпечними, то для восьмої організатори вибрали дірявий движок (який прикрасили дірявими плагінами), тому й на сайті багато дірок.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
15.03.2013
Full path disclosure:
http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/dcwp_floating_tweets.php
http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/dcwp_floating_tweets_widget.php
http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/skin.php?skin=1
Directory Traversal (Windows):
http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/skin.php?widget_id=2&skin=11
DT дозволяє зчитувати лише css-файли (в папці /skins/ та підпапках). При відключених mq можна використати Null Byte Injection, що дозволить через DT зчитувати довільні файли.
XSS (persistent XSS):
В даному плагіні три persistent XSS дірки. Приклади експлоітів до Floating Tweets для WordPress.
Окрім вищенаведених, на сайті є ще багато інших дірок. Тільки FPD уразливостей було декілька сотень, про що я приватно повідомив власникам сайта разом з цими дірками.
Власники сайта ламерським чином проігнорували ці уразливості, навіть не відповівши мені. Лише через інших осіб передавши мені, що цим ламєрам, що забивають на безпеку свого секюріті сайта - конференції з інформаційної безпеки - не сподобалось, що я повідомив їм (причому неодноразово) про дірки на їхньому ресурсі. Лише через півроку вони повиправляли всі FPD дірки на сайті, включаючи в плагіні Floating Tweets, але інші дірки в цьому плагіні залишилися не виправленими.
Субота, 12:23 16.03.2013
То ж ламери! Невже ти чекав більшого?
Субота, 19:29 16.03.2013
Без сумніву ламери. Я в цьому переконався
.
Але апріорі я ставлюся до людей позитивно, сподіваючись, що вони не будуть ламерити. І вже на практиці виясняю, хто вони насправді. Досить людині один раз повідомити про дірки на сайті, щоб все вияснити про неї
. Враховуючи, що ці люди є організаторами секюріті конференції, то я сподівався на адекватність і серйозність з їхньої сторони (на відміну від диродєлов адмінів сайтів інших конференцій). Але не побачив ні першого, ні другого, тільки ламеризм - типовий для всіх організаторів конференцій.
Я виступав на секюріті конференціях CodeCamp (в 2009) і на UISGCON (в 2011), та стосовно дірявих сайтів обох цих конференцій повідомляв адмінам. Бо несерйозно проводити конференції про ІБ з дірявими сайтами. Але що організатори CodeCamp, що UISGCON забивали на дірки на своїх сайтах й забивали на мої повідомлення про уразливості (в кращому випадку лише виправляючи FPD дірки).
Вівторок, 03:05 19.03.2013
а в чем ламеризм? в том, что никто не упал ниц перед великим и ужасным? ты хоть свой сайт от килапача защитил??? а то как-то не комильфо рассказывать, что все кругом ламера, а у твоего же побратима по комментам на хакзоне ру висит видео-пример работы тулзы, написанной 10-ти классником, от которой он слегка не работает…
терпимей надо быть, товарищи, и меньше лицемерия…
Вівторок, 23:59 19.03.2013
Какие люди, Тим. Что такого ламера занесло на мой сайт.
Ты что думал, я тебя не вычислю? Я сразу же выяснил, кто написал комментарий, при твоей такой ламерской конспирации. И человек, ламерящий в конспирации и в других вещах рассуждает о ламеризме. Это выглядит просто смешно
.
Как такие твои рассуждения, так и твои отсылки к Озу выглядят как юмор. То ли новый фильм ты посмотрел, то ли “перевод” этой сказки от Волкова прочитал на досуге - раз в детство впал. Всё что угодно, только не следить за безопасностью и уязвимости не исправлять.
А ламеризм, если ты до сих пор не понял (за многие годы в ИБ), это наличие уязвимостей на сайтах. Которые ты имеешь на всех своих сайтах, включая сайт своей компании и 8.uisgcon.org, к которому ты имеешь отношение. И забивание на дыры - не проведение аудитов/пентестов или же игнорирование дыр, которые тебе нашли другие люди и о которых сообщили. Чем ты годами занимаешься - игнорируешь все дыры на всех своих сайтах, о которых я тебе многократно сообщал (включая на вышеупомянутых сайтах).
А также к ламеризму относится бескультурье - не отвечание на уведомления об уязвимостях, выставление претензий и любое другое неадекватное поведение после таких уведомлений, исправление втихаря без высказывания благодарности тому, кто сообщил о дырах. В том числе вначале забивание, а потом через пол года - год скрытное исправление. И всеми этими формами ламеризма страдаешь как ты, так и админы этого сайта.
Середа, 01:25 20.03.2013
Сайт свой я защитил от уязвимостей в веб приложениях, а также от атак связанных с уязвимостями в плагинах к браузерам.
А по поводу твоего ламерского заявления замечу следующее. Уязвимости в веб серверах и СУБД исправляются в самих этих приложениях (в коде или в настройках). Что в контексте веб сайта означает, что админом сервера обновляется ПО или его настройки на сервере. Если в вашем случае вы сами являетесь админами своего сервера, то и на вас лежит эта ответственность, то мой сайт находится на шаред хостинге. Поэтому всеми вопросами по серверному ПО занимается хостер (к которому ты можешь высылать все замечания связанные с безопасностью серверного ПО) - ИБ компания Шалб. Которая строит из себя магасекюрную компанию. А на деле постоянно ламерят, подобно другим секюрити компаниям, и я ежегодно, по несколько раз на год, сообщаю им об уязвимостях на их сайтах или на их серверах (в частности в серверном ПО на тех двух серверах, где раньше хостился и где сейчас хостится мой сайт). В частности регулярно им напоминаю о необходимости обновления веб сервера, в том числе и в плане защиты от DoS уязвимостей в Апаче.
Дорогой мистер скрип-кидис. Который не в состоянии сам найти уязвимость и/или написать эксплоит, а использующий готовые эксплоиты, написанные школьниками.
Как я уже говорил пару лет назад одному ламеру, что обращался ко мне по поводу дыры в Апаче, и повторю тебе. Во-первых, дыры в Апаче не имеют прямого отношения к сайту (см. выше), а во-вторых, если можешь атаковать Апаче через DoS уязвимость многолетней давности, то вперёд и с песней. Я на это посмотрю.
“Слегка не работает” не считается. Нужно, чтобы не работал (и без DDoS, а именно через DoS уязвимость в браузере) - причём существенно время (чтобы хостер это мог заметить). Тогда можно будет о чём-либо говорить (и тогда до хостера дойдёт, а то они очень медленно обновляют серверное ПО после моих напоминаний). А так это твои фантазии о якобы наличии уязвимости в веб сервере на хостинге секюрити компании, где хостится мой сайт. И соответственно все вопросы к администраторам сервера, т.е. к Шалбу. После переезда на новый сервер в 2011 году на аптайм не жалуюсь, веб сервер работать стабильно.