Уразливості на www.8.uisgcon.org

17:23 15.03.2013

01.09.2012

У серпні, 16.08.2012, я знайшов численні уразливості на сайті http://www.8.uisgcon.org, зокрема Full path disclosure, Directory Traversal та Cross-Site Scripting уразливості. Про що найближчим часом сповіщу адміністрацію сайта.

Це сайт секюріті конференції UISGCON 8. Торік я виступав з доповіддю на шостій конференції UISG. Якщо сайти сьомої та попередніх конференцій були більш безпечними, то для восьмої організатори вибрали дірявий движок (який прикрасили дірявими плагінами), тому й на сайті багато дірок.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

15.03.2013

Full path disclosure:

http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/dcwp_floating_tweets.php
http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/dcwp_floating_tweets_widget.php
http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/skin.php?skin=1

Directory Traversal (Windows):

http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/skin.php?widget_id=2&skin=11

DT дозволяє зчитувати лише css-файли (в папці /skins/ та підпапках). При відключених mq можна використати Null Byte Injection, що дозволить через DT зчитувати довільні файли.

XSS (persistent XSS):

В даному плагіні три persistent XSS дірки. Приклади експлоітів до Floating Tweets для WordPress.

Окрім вищенаведених, на сайті є ще багато інших дірок. Тільки FPD уразливостей було декілька сотень, про що я приватно повідомив власникам сайта разом з цими дірками.

Власники сайта ламерським чином проігнорували ці уразливості, навіть не відповівши мені. Лише через інших осіб передавши мені, що цим ламєрам, що забивають на безпеку свого секюріті сайта - конференції з інформаційної безпеки - не сподобалось, що я повідомив їм (причому неодноразово) про дірки на їхньому ресурсі. Лише через півроку вони повиправляли всі FPD дірки на сайті, включаючи в плагіні Floating Tweets, але інші дірки в цьому плагіні залишилися не виправленими.


5 відповідей на “Уразливості на www.8.uisgcon.org”

  1. Dementor каже:

    То ж ламери! Невже ти чекав більшого? 8O :) :mrgreen:

  2. MustLive каже:

    Без сумніву ламери. Я в цьому переконався :-) .

    Але апріорі я ставлюся до людей позитивно, сподіваючись, що вони не будуть ламерити. І вже на практиці виясняю, хто вони насправді. Досить людині один раз повідомити про дірки на сайті, щоб все вияснити про неї ;-) . Враховуючи, що ці люди є організаторами секюріті конференції, то я сподівався на адекватність і серйозність з їхньої сторони (на відміну від диродєлов адмінів сайтів інших конференцій). Але не побачив ні першого, ні другого, тільки ламеризм - типовий для всіх організаторів конференцій.

    Я виступав на секюріті конференціях CodeCamp (в 2009) і на UISGCON (в 2011), та стосовно дірявих сайтів обох цих конференцій повідомляв адмінам. Бо несерйозно проводити конференції про ІБ з дірявими сайтами. Але що організатори CodeCamp, що UISGCON забивали на дірки на своїх сайтах й забивали на мої повідомлення про уразливості (в кращому випадку лише виправляючи FPD дірки).

  3. itsec_machete каже:

    а в чем ламеризм? в том, что никто не упал ниц перед великим и ужасным? ты хоть свой сайт от килапача защитил??? а то как-то не комильфо рассказывать, что все кругом ламера, а у твоего же побратима по комментам на хакзоне ру висит видео-пример работы тулзы, написанной 10-ти классником, от которой он слегка не работает…

    терпимей надо быть, товарищи, и меньше лицемерия…

  4. MustLive каже:

    Какие люди, Тим. Что такого ламера занесло на мой сайт.

    Ты что думал, я тебя не вычислю? Я сразу же выяснил, кто написал комментарий, при твоей такой ламерской конспирации. И человек, ламерящий в конспирации и в других вещах рассуждает о ламеризме. Это выглядит просто смешно :-) .

    Как такие твои рассуждения, так и твои отсылки к Озу выглядят как юмор. То ли новый фильм ты посмотрел, то ли “перевод” этой сказки от Волкова прочитал на досуге - раз в детство впал. Всё что угодно, только не следить за безопасностью и уязвимости не исправлять.

    А ламеризм, если ты до сих пор не понял (за многие годы в ИБ), это наличие уязвимостей на сайтах. Которые ты имеешь на всех своих сайтах, включая сайт своей компании и 8.uisgcon.org, к которому ты имеешь отношение. И забивание на дыры - не проведение аудитов/пентестов или же игнорирование дыр, которые тебе нашли другие люди и о которых сообщили. Чем ты годами занимаешься - игнорируешь все дыры на всех своих сайтах, о которых я тебе многократно сообщал (включая на вышеупомянутых сайтах).

    А также к ламеризму относится бескультурье - не отвечание на уведомления об уязвимостях, выставление претензий и любое другое неадекватное поведение после таких уведомлений, исправление втихаря без высказывания благодарности тому, кто сообщил о дырах. В том числе вначале забивание, а потом через пол года - год скрытное исправление. И всеми этими формами ламеризма страдаешь как ты, так и админы этого сайта.

  5. MustLive каже:

    ты хоть свой сайт от килапача защитил

    Сайт свой я защитил от уязвимостей в веб приложениях, а также от атак связанных с уязвимостями в плагинах к браузерам.

    А по поводу твоего ламерского заявления замечу следующее. Уязвимости в веб серверах и СУБД исправляются в самих этих приложениях (в коде или в настройках). Что в контексте веб сайта означает, что админом сервера обновляется ПО или его настройки на сервере. Если в вашем случае вы сами являетесь админами своего сервера, то и на вас лежит эта ответственность, то мой сайт находится на шаред хостинге. Поэтому всеми вопросами по серверному ПО занимается хостер (к которому ты можешь высылать все замечания связанные с безопасностью серверного ПО) - ИБ компания Шалб. Которая строит из себя магасекюрную компанию. А на деле постоянно ламерят, подобно другим секюрити компаниям, и я ежегодно, по несколько раз на год, сообщаю им об уязвимостях на их сайтах или на их серверах (в частности в серверном ПО на тех двух серверах, где раньше хостился и где сейчас хостится мой сайт). В частности регулярно им напоминаю о необходимости обновления веб сервера, в том числе и в плане защиты от DoS уязвимостей в Апаче.

    от которой он слегка не работает…

    Дорогой мистер скрип-кидис. Который не в состоянии сам найти уязвимость и/или написать эксплоит, а использующий готовые эксплоиты, написанные школьниками.

    Как я уже говорил пару лет назад одному ламеру, что обращался ко мне по поводу дыры в Апаче, и повторю тебе. Во-первых, дыры в Апаче не имеют прямого отношения к сайту (см. выше), а во-вторых, если можешь атаковать Апаче через DoS уязвимость многолетней давности, то вперёд и с песней. Я на это посмотрю.

    “Слегка не работает” не считается. Нужно, чтобы не работал (и без DDoS, а именно через DoS уязвимость в браузере) - причём существенно время (чтобы хостер это мог заметить). Тогда можно будет о чём-либо говорить (и тогда до хостера дойдёт, а то они очень медленно обновляют серверное ПО после моих напоминаний). А так это твои фантазии о якобы наличии уязвимости в веб сервере на хостинге секюрити компании, где хостится мой сайт. И соответственно все вопросы к администраторам сервера, т.е. к Шалбу. После переезда на новый сервер в 2011 году на аптайм не жалуюсь, веб сервер работать стабильно.

Leave a Reply

You must be logged in to post a comment.