Уразливість на perl.dp.ua

01:15 08.08.2006

06.08.2006

Вчора знайшов Cross-Site Scripting уразливість на популярному проекті http://perl.dp.ua. Про що вже сповістив адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

08.08.2006

XSS:

Уразливість досі не виправлена. А на автора даного сайта чекають нові уразливості :!:


6 відповідей на “Уразливість на perl.dp.ua”

  1. Сашко каже:

    А оця штука alert(document.cookie), я так здогадуюся її можна використовувати в корисливих цілях коли на це посилання клікає авторизований користувач і його “коржики” перелилаються в якесь місце, а потім можна відредагувати свої таким чином, щоб мати привілегії того хто клікнув. так, чи я помиляюся чи ще якось :? :

  2. Dmitry A. Nikolayev каже:

    Дыра, конечно, серьёзная для сайта о языке программирования :) ) но тем не менее спасибо.. только вот по сетевому этикету, молодой человек, положено уведомить автора сайта об этом заранее.. а не выложить у себя на сайте, а потом удивляться о том, что ничего никто не исправил.. когда мы общались онлайн Вы говорили об огромной дыре и не захотели рассказывать где.. ну ладно дело Ваше,.. просто, если Вы уже говорите о собственной значимости, то будьте добры, соблюдайте сетевой этикет.. :)
    Кстати, у меня почему-то есть мнение, что Вы моё сообщение удалите либо отредактируете :)

  3. Dmitry A. Nikolayev каже:

    > Про що вже сповістив адміністрацію проекту
    “Администрация проекта” публично заявляет, что было сообщение через чат-поддержку о том, что у вас есть на сайте огромная дыра.. На вопрос “поясните, где” - поступил ответ скоро узнаете.. Так что можно сказать, что нас не уведомили о конкретной дыре.. С таким же успехом можно было написать,.. а в ядре линукса 2.6.19-Alpha - есть баг.. а потом сказать через полгода, что предупреждал же :) )

  4. MustLive каже:

    Дмитрий. Рад, что вы ответили - так как ни на одно из трёх моих писем вы не ответили! Хорошо, что хоть, когда я отправил третье письмо на два емайла (на ваш на @perl.dp.ua и на @rdc.dp.ua), хоть дошло письмо на rdc.dp.ua и они вам сообщили (как я понимаю). Т.к. судя по вашим откликам, на ваш емайл на @perl.dp.ua письма с моего адреса не доходят - из-за спам-фильтров.

    >Дыра, конечно, серьёзная для сайта о языке программирования
    Со своей стороны я уведомил об уязвимости - а финальное решение о необоходимости патча за вами. В случае подобных заявленмя я вам рекомендую почитать мою небольшую статью Сайти зомбі, а также ознакомиться с разделом Статті.

    Уязвимость - есть уязвимость. И это уже нехорошо. Как минимум с точки зрения имиджа. А тем более на сайте о языке программирования - ведь программирование должно быть безопасным (чему и посвящён мой проект), а для этого сам сайт о программировании не д.б. дырявым. Ну и нужно учитывать все риски, которые не учитываете по незнанию, и по поводу которых я порекомендовал почитать информацию.

    >только вот по сетевому этикету, молодой человек, положено уведомить автора сайта об этом заранее..
    Как я уже сказал, вам отправил три письма. И то что вы не получили их - это уже ваши проблемы. Мне никаких возвратов не пришло. Если я сказал (вам в чате), что отправлю - значит так я и сделаю. И так и сделал - как об этом на сайте написал. А ламерски настроенный спам-фильтры - это уже дело владельца емайла, я не нанимался хакать ваш емайл и фильтры, чтобы вы получили от меня письмо. И в случае если мне приходит возврат, тогда я ищу другие пути, чтобы сообщить автору сайта. В вашем же случае я написал три письма и ни один из них не вернулся (с сообщением об ошибке).

    После публикации второго анонса о новых ошибках на вашем сайте, я запостил информацию у вас на форуме! Вы её читали? Т.к. я заходил через несколько дней и никакой реакции на форуме не увидел. И от вас никаких вопросов не поступало. Как я только что посмотрел, моё сообщение до сих пор висит без ответа. Нужно следить за сообщениями у себя на форуме, и если я там написал об ошибке, а писем как вы заявляете не получали, то нужно было со мной связаться. Я уж не говорю, что фильтры нужно нормально настраивать, чтобы все важные сообщения доходили. К примеру, недавно админы сабскрайба, связались со мной, т.к. ни по емайлу, ни с формы на сайте не дошло до них моё уведомление (явно какое-то сообщение о письме с такого-то емайла дошло). Они нашли у меня на сайте анонс уязвимости и связались со мной и я им по асе выслал текст письма об уязвимости, чтобы они могли исправить её (раз фильтр не пропустил письмо). Поэтому было бы желание, то можно в любой ситуации получить от меня измещение, а не заходить на сайт и безосновательно меня обвинать :!:

    Вы первый человек в этом году, и за всё время работы сайта (с 18.07.2006), кто меня обвиняет в нарушении сетикета (и безосновательно). Поэтому исходя из ваших безпочвенных обвинений, и чрезмерного злоупотребления смайлами, могу сказать, что это вам нужно задуматься о своём этикете и сетикете (и пофиксить свои спам-фильтры).

    >Кстати, у меня почему-то есть мнение, что Вы моё сообщение удалите либо отредактируете
    С чего вы взяли? Это движок WordPress и у меня включен режим “еденичной премодераци” - когда я первый раз пользователя (по IP) сообщение допускаю, а дальше уже подверждение не требуется. Это защита от спама (которого изо дня в день всё больше, несмотря на то, что проект начал работу лишь 18.07.2006). Ваши сообщения я допустил в тот же, как добрался до интернета и зашёл в админку. Так что не переживайте.

    >“Администрация проекта” публично заявляет, что было сообщение через чат-поддержку о том, что у вас есть на сайте огромная дыра.. На вопрос “поясните, где” - поступил ответ скоро узнаете.. Так что можно сказать, что нас не уведомили о конкретной дыре..
    Как я сказал, я вам отправил три письма. Первое после разговора в чате, после анонса первой уязвимости (до опубликования деталей), второе - после анонса второй (а также на форуме написал), третье - после анонса третьей (сразу на два емайла). И вы единственный человек, который мне жалуется на неполучение информации - в этом году десятки и сотни людей получали от меня информацию (всеми доступными способами, по емайлу, через форму, на форуме, по асе и по телефону - лишь детали я отправляю по емайлу или через форму, т.к. ни форум (открытый), ни телефон, для этого не подходят).

  5. Dmitry A. Nikolayev каже:

    :))

  6. MustLive каже:

    Сашко, стосовно того як можна використати дані XSS уразливості ти здогадався вірно - можна викрасти кукіси користувача сайта, і навіть адміна, з подальшим захопленням акаунту на сайті (чи сайта в цілому, якщо захвачений кукіс адміна). Але кукіси це лише один з можливих напрямків атаки - загальний спектр використання XSS доволі широкий.

    Ну а alert(document.cookie) - це мій (класичний) приклад демонстрації Cross-Site Scripting уразливості. Це нешкідливий і сам по собі безпечний приклад, який демонструє наявність уразливості. Для безпосередньої атаки потрібно використовувати інші, більш складні скрипти. На своєму сайті я детальних прикладів XSS атак не привожу, щоб не розводити в себе скріпт кідісів.

    Про Cross-Site Scripting я на сайті писав чимало метеріалів. Зокрема зверни увагу на розділ Статті, та на інші матеріали котрі я регулярно поблікую для просвіти громадськості.

Leave a Reply

You must be logged in to post a comment.