Уразливість на auction.ua
18:36 12.05.200707.02.2007
У листопаді, 04.11.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://auction.ua (інтернет аукціон). Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливість з’явиться пізніше.
12.05.2007
XSS:
Дана уразливість досі не виправлена.
Четвер, 13:18 08.02.2007
і як на вашу думку зловмисник може використати дану уразливість, і що вона йому дасть ? :
Четвер, 16:10 08.02.2007
Beat.
По-перше, я не став би згадувати про цю уразливість, якщо б вона нічого не дала зловмиснику. Я завжди пишу лише про актуальні уразливості.
По-друге, всі можливі напрямки використання даної уразливості (і можливий зиск для зловмисника) - вони всі виходять з типу уразливості, про який я написав, що це Cross-Site Scripting.
Про XSS я пишу регулярно, в тому числі я написав достатньо матеріалів по даному напрямку веб атак (в різних розділах свого сайта і зокрема в розділі Статті), які можна прочитати для покращення своїх знань з цієї теми (і варто ці матеріли прочитати).
Мені часто задають подібні записатання, і зокрема про XSS, мовляв що з даною уразливістю можна зробити (і задають подібні запитання люди, які не розуміються, або недостатньо розуміються на цій темі). Як я вже сказав, інформації я публікую достатньо, в тому числі надаю лінки на додаткову інформацію про різні типи уразливостей (в тому числі XSS). І щоб подібних запитань не задавати, варто прочитати наявні матеріали по даній темі (як на моєму сайті, так і на інших сайтах, зокрема ті, на які я надавав лінки). Я навіть опублікував відео мануал на цю тему - Відео про Cross Site Scripting, в якому наглядно демонструється методика атаки з використанням XSS.
Головним вектором атаки при XSS, є користувачі сайта. В тому числі й адміністратори. І при захопленні панелі керування адміністратора, зловмисник отримує контроль над усім сайтом. Тому даний клас уразливостей є доволі небезпечним.
Четвер, 18:24 08.02.2007
До речі, Beat, я так і здогадався, що ви маєте відношення до auction.ua.
Як я глянув на одному вашому сайті, який я знайшов (на www.complex.lviv.ua), на сайті є реклама auction.ua, що і підвердило мої здогади (що обидва сайти є вашими проектами, в тій чи іншій мірі).
Так от вашому інтернет магазину також варто слідкувати за власною безпекою. Бо я лише трішки подивився на ваш сайт і сходу знайшов 15 уразливостей (Directory disclosure, Full path disclosure та XSS). Тому приділяйте увагу безпеці та проводьте аудит безпеки ваших сайтів.
П'ятниця, 11:24 09.02.2007
наврядчи хтось буде спеціально псувати акаунти юзверів, хіба що із особистої помсти, а адмін-панелі майже завжди захищені додатковими приблудами, наприклад через .htaccess
П'ятниця, 15:18 09.02.2007
guman
Акаунти юзерів псувати мало кому потрібно, це може бути лише у випадку дитячих забавок, а зловмисники мають інші цілі. Зокрема захоплюють юзерські акаунти з метою отримання конфіденційної інформації, або з метою отримання грошей (що найбільш поширено) - грошей у веб гаманці або грошей в акаунті користувача (веб брокера, про діри на сайтах яких я пишу регулярно).
А адмінку від XSS нічого не врятує, жоден .htaccess. Тільки пароль/хеш/сесія захоплені, далі вже справа техніки. Тому найбільш ефективним є розділеня доступу до адмінки і наприклад форуму (що треба в адмінку додатково авторизуватися). Як це зроблено в IPB, а потім подібне зробили пхпББ-шніки, як раз після тієї діри, патч для якої я випустив в першій версії свого Security Pack. Тільки таким чином зменшується ризик, але в будь-якому разі кожну діру треба фіксити, бо навіть з “неповними” правами зловмисник зможе нанести шкоду.
А щодо .htaccess, то зауважу, що як це було у випадку уразливості на www.arcanumclub.ru, цей файл не тільки не захистив, а навіть допоміг швидко знайти адмінку і хеші адмінів. Тому при наявності дір на сайті, не варто сподіватися на його безпеку. І нерідко може статися, що засоби безпеки, можуть навіть погіршити загальний рівень безпеки (як у наведеному випадку). А також з цього прикладу можна зрозуміти, що нюкати треба обережно .
Понеділок, 18:43 20.08.2007
можу Вас порадувати що доступ до адміністративної частини може відбутися тільки з одного IP адресу
Понеділок, 21:00 20.08.2007
Beat
З приводу того, що ви виправили вже дірку (хоча цей процес затягнувся на довго і мені довелося вас довго переконувати, що треба слідкувати за безпекою свого сайта), зазначу. Що уразливість ви виправили не до кінця, з чим мені нерідко доводиться стикатися.
При невеличкій модифікації (використовуючи filter bypass техніку) уразливість знову працює (в IE):
XSS:
alert(document.cookie)
цікавий
Безпека сайта - це більш серйозна справа, ніж це вам здалося. Потрібно як виправляти дірки (котрі потрібно спочатку ще знайти), так і перевіряти виправлення. Для цього і потрібен аудит безпеки.
Тому більше слідкуйте за безпекою власного проекту.
P.S.
Додам, що спасибі від вас я так і не отримав (при усіх моїх витратах часу на вас). Не варто про це забувати (з чим я стикаюсь доволі часто і це відповідним чином характеризує ті проекти та їх власників).
Понеділок, 21:23 20.08.2007
По-перше, адмінка - це лише одна складова частина сайта. Окрім неї є ще аккаунти користувачів. В котрих обмеження по IP може не бути (як це переважно буває). А також є ще відвідувачі сайту, котрих через заначену мною уразливість (як першу версія, так і другу з обходом фільтрів) погані хлопці зможуть атакувати без будь-яких згадок про їх IP. Cross-Site Scripting - це дуже об’ємна уразливість, з багатьма векторами атаки.
По-друге, обмеження по IP нічого не дасть. З XSS це обмеження легко обходиться і від даних дірок воно не захистить. Про що мені часто доводиться повторювати своїм клієнтам та власникам дирявих сайтів, котрим я повідомляю про дірки (а вони лінуються їх виправляти, ховаючись за обмеженням по IP, що є міфом, котрий мені доводиться розвіювати).
Тому мене ви нічим не порадували (що так несерйозно відноситеся до безпеки свого сайта). Та й себе також, як ви могли зрозуміти з моїх слів. Лише порадували тих зловмисників, що захочуть атакувати учасників вашого сайта (тим що не приділяєте уваги безпеці).
Варто серйозніше віднестися до безпеки клієнтів та відвідувачів вашого проекту.
Понеділок, 21:27 20.08.2007
Я б подякував, якби Ви вказали якесь конкретне проблемне місце, я не рахую XSS чимось серйозним
Понеділок, 21:32 20.08.2007
[quote]По-друге, обмеження по IP нічого не дасть. З XSS це обмеження легко обходиться[/quote]
Будь-ласка, якщо Вам не важко то я хочу побачити як Ви нанесете шкоду сайту http://auction.ua з допомогою XSS, якщо ж дійсно нанесете то буде вам подяка, і матеріальна в тому числі