« Добірка експлоітів
В Google будуть боротися з “заразними” сайтами »

Уразливість на auction.ua

18:36 12.05.2007

07.02.2007

У листопаді, 04.11.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://auction.ua (інтернет аукціон). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

12.05.2007

XSS:

Дана уразливість досі не виправлена.


This entry was posted on 18:36 12.05.2007 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

10 відповідей на “Уразливість на auction.ua”

  1. Beat каже:
    Четвер, 13:18 08.02.2007

    і як на вашу думку зловмисник може використати дану уразливість, і що вона йому дасть ? :? :

  2. MustLive каже:
    Четвер, 16:10 08.02.2007

    Beat.

    По-перше, я не став би згадувати про цю уразливість, якщо б вона нічого не дала зловмиснику. Я завжди пишу лише про актуальні уразливості.

    По-друге, всі можливі напрямки використання даної уразливості (і можливий зиск для зловмисника) - вони всі виходять з типу уразливості, про який я написав, що це Cross-Site Scripting.

    Про XSS я пишу регулярно, в тому числі я написав достатньо матеріалів по даному напрямку веб атак (в різних розділах свого сайта і зокрема в розділі Статті), які можна прочитати для покращення своїх знань з цієї теми (і варто ці матеріли прочитати).

    Мені часто задають подібні записатання, і зокрема про XSS, мовляв що з даною уразливістю можна зробити (і задають подібні запитання люди, які не розуміються, або недостатньо розуміються на цій темі). Як я вже сказав, інформації я публікую достатньо, в тому числі надаю лінки на додаткову інформацію про різні типи уразливостей (в тому числі XSS). І щоб подібних запитань не задавати, варто прочитати наявні матеріали по даній темі (як на моєму сайті, так і на інших сайтах, зокрема ті, на які я надавав лінки). Я навіть опублікував відео мануал на цю тему - Відео про Cross Site Scripting, в якому наглядно демонструється методика атаки з використанням XSS.

    Головним вектором атаки при XSS, є користувачі сайта. В тому числі й адміністратори. І при захопленні панелі керування адміністратора, зловмисник отримує контроль над усім сайтом. Тому даний клас уразливостей є доволі небезпечним.

  3. MustLive каже:
    Четвер, 18:24 08.02.2007

    До речі, Beat, я так і здогадався, що ви маєте відношення до auction.ua.

    Як я глянув на одному вашому сайті, який я знайшов (на www.complex.lviv.ua), на сайті є реклама auction.ua, що і підвердило мої здогади (що обидва сайти є вашими проектами, в тій чи іншій мірі).

    Так от вашому інтернет магазину також варто слідкувати за власною безпекою. Бо я лише трішки подивився на ваш сайт і сходу знайшов 15 уразливостей (Directory disclosure, Full path disclosure та XSS). Тому приділяйте увагу безпеці та проводьте аудит безпеки ваших сайтів.

  4. guman каже:
    П'ятниця, 11:24 09.02.2007

    наврядчи хтось буде спеціально псувати акаунти юзверів, хіба що із особистої помсти, а адмін-панелі майже завжди захищені додатковими приблудами, наприклад через .htaccess

  5. MustLive каже:
    П'ятниця, 15:18 09.02.2007

    guman

    Акаунти юзерів псувати мало кому потрібно, це може бути лише у випадку дитячих забавок, а зловмисники мають інші цілі. Зокрема захоплюють юзерські акаунти з метою отримання конфіденційної інформації, або з метою отримання грошей (що найбільш поширено) - грошей у веб гаманці або грошей в акаунті користувача (веб брокера, про діри на сайтах яких я пишу регулярно).

    А адмінку від XSS нічого не врятує, жоден .htaccess. Тільки пароль/хеш/сесія захоплені, далі вже справа техніки. Тому найбільш ефективним є розділеня доступу до адмінки і наприклад форуму (що треба в адмінку додатково авторизуватися). Як це зроблено в IPB, а потім подібне зробили пхпББ-шніки, як раз після тієї діри, патч для якої я випустив в першій версії свого Security Pack. Тільки таким чином зменшується ризик, але в будь-якому разі кожну діру треба фіксити, бо навіть з “неповними” правами зловмисник зможе нанести шкоду.

    А щодо .htaccess, то зауважу, що як це було у випадку уразливості на www.arcanumclub.ru, цей файл не тільки не захистив, а навіть допоміг швидко знайти адмінку і хеші адмінів. Тому при наявності дір на сайті, не варто сподіватися на його безпеку. І нерідко може статися, що засоби безпеки, можуть навіть погіршити загальний рівень безпеки (як у наведеному випадку). А також з цього прикладу можна зрозуміти, що нюкати треба обережно :) .

  6. Beat каже:
    Понеділок, 18:43 20.08.2007

    можу Вас порадувати що доступ до адміністративної частини може відбутися тільки з одного IP адресу

  7. MustLive каже:
    Понеділок, 21:00 20.08.2007

    Beat

    З приводу того, що ви виправили вже дірку (хоча цей процес затягнувся на довго і мені довелося вас довго переконувати, що треба слідкувати за безпекою свого сайта), зазначу. Що уразливість ви виправили не до кінця, з чим мені нерідко доводиться стикатися.

    При невеличкій модифікації (використовуючи filter bypass техніку) уразливість знову працює (в IE):

    XSS:

    alert(document.cookie)
    цікавий

    Безпека сайта - це більш серйозна справа, ніж це вам здалося. Потрібно як виправляти дірки (котрі потрібно спочатку ще знайти), так і перевіряти виправлення. Для цього і потрібен аудит безпеки.

    Тому більше слідкуйте за безпекою власного проекту.

    P.S.

    Додам, що спасибі від вас я так і не отримав (при усіх моїх витратах часу на вас). Не варто про це забувати (з чим я стикаюсь доволі часто і це відповідним чином характеризує ті проекти та їх власників).

  8. MustLive каже:
    Понеділок, 21:23 20.08.2007

    можу Вас порадувати що доступ до адміністративної частини може відбутися тільки з одного IP адресу

    По-перше, адмінка - це лише одна складова частина сайта. Окрім неї є ще аккаунти користувачів. В котрих обмеження по IP може не бути (як це переважно буває). А також є ще відвідувачі сайту, котрих через заначену мною уразливість (як першу версія, так і другу з обходом фільтрів) погані хлопці зможуть атакувати без будь-яких згадок про їх IP. Cross-Site Scripting - це дуже об’ємна уразливість, з багатьма векторами атаки.

    По-друге, обмеження по IP нічого не дасть. З XSS це обмеження легко обходиться і від даних дірок воно не захистить. Про що мені часто доводиться повторювати своїм клієнтам та власникам дирявих сайтів, котрим я повідомляю про дірки (а вони лінуються їх виправляти, ховаючись за обмеженням по IP, що є міфом, котрий мені доводиться розвіювати).

    Тому мене ви нічим не порадували (що так несерйозно відноситеся до безпеки свого сайта). Та й себе також, як ви могли зрозуміти з моїх слів. Лише порадували тих зловмисників, що захочуть атакувати учасників вашого сайта (тим що не приділяєте уваги безпеці).

    Варто серйозніше віднестися до безпеки клієнтів та відвідувачів вашого проекту.

  9. Beat каже:
    Понеділок, 21:27 20.08.2007

    Я б подякував, якби Ви вказали якесь конкретне проблемне місце, я не рахую XSS чимось серйозним ;)

  10. Beat каже:
    Понеділок, 21:32 20.08.2007

    [quote]По-друге, обмеження по IP нічого не дасть. З XSS це обмеження легко обходиться[/quote]

    Будь-ласка, якщо Вам не важко то я хочу побачити як Ви нанесете шкоду сайту http://auction.ua з допомогою XSS, якщо ж дійсно нанесете то буде вам подяка, і матеріальна в тому числі

Leave a Reply

You must be logged in to post a comment.