Уразливості на www.odnoklassniki.ru
23:53 12.10.2013У серпні соціальна мережа “Одноклассники” проводила конкурс на пошук уразливостей “Нация тестирует!” (з виплатою винагород за уразливості). Тоді я вирішив прийняти участь в цьому конкурсі, бо неодноразово знаходив дірки в різних соціальних мережах і в різних проектах Mail.ru (таких як drive.mail.ru, top.mail.ru, gogo.ru, rb.mail.ru і blogs.mail.ru).
Тоді я знайшов чимало різних уразливостей, деякі з яких вислав Однокласникам. Зокрема декілька знайдених 17.08.2013 уразливостей на http://www.odnoklassniki.ru. Для початку - щоб оцінити, як вони сприймають і оплачують дірки. Ось дві з них: Redirector та Information Leakage. На свого листа я отримав “автоматичну” відповідь, що мого листа отримано і все. Жодної відповіді представників компанії та виправлення уразливостей - ці та інші дірки досі не виправлені.
Redirector (URL Redirector Abuse):
odnoklassniki.ru Redirector.html
Information Leakage:
Витік інформації про Java пакети і версію веб сервера.
odnoklassniki.ru Information Leakage.html
Що дуже типово для соціальних мереж. Які забивають на безпеку, не відповідають на листи і не виплачують винагород за уразливості (навіть якщо і заявляють про проведення подібних виплат), а якщо й виправляють повідомленні дірки, то втихаря, без подяки дослідникам безпеки. Як я мав досвід з MySpace, Facebook і Яндекс в попередні роки.
Понеділок, 08:46 14.10.2013
В мене також була така сумна історія з ФБ, а ще з Гуглом.
Понеділок, 20:42 14.10.2013
Так, ти казав про це в коментарях до публікації про мою аналогічну проблему з Яндексом минулого року. Тоді вони втихаря виправили дірку через пів доби після мого повідомлення, спочатку відповівши, що такої дірки немає, а після того, як я надав скріншот, почали видумувати, що їм про цю дірку хтось раніше вже повідомив. А потім почали ігнорувати всі мої подальші аргументи і відповідати шаблонними листами.
Так що окрім соціальних мереж, я також мав подібні випадки з Яндексом. А з Гуглом також мав багато викрутасів - виправлення дірок без подяки, або подяка по емайлу, без офіційної згадки в себе на сайті (хоча вони вже багато років ведуть подібний розділ на сайті), численні випадки коли спочатку ігнорування, а потім втихаря виправлення. Подібні випадки були в мене з Я і Г як до запровадження bounty програм, так і після. Не раджу мати справу з компаніями які “кидають” дослідників безпеки.
Понеділок, 20:53 14.10.2013
Ну от будем складати блек-лісти таких компаній
Вівторок, 01:41 15.10.2013
Так. Вже потихеньку почали. З часом це потрібно буде зробити більш систематично - зробити окрему сторінку на сайті, а то й окремий сайт. І поширювати цю інформацію серед секюріті діячів. Та проводити агітацію серед спільноти не мати справу з такими компаніями.
Вівторок, 08:43 15.10.2013
Та думаю окремого розділу на сайті б вистачило.
Вівторок, 23:52 15.10.2013
Так, для початку розділу вистачить. В ньому можна перераховувати конкретні погані компанії з лінками на пости з детальним описом інцидентів, що мав місце з цими компаніями. Але зараз не хочеться навіть такий розділ створювати, щоб негативом сайт не перевантажувати.
Тому поки не зробив такого розділу. Обмежуюсь описом конкретних випадків серед інших постів про уразливості. А також в мене були публікації на тему веб сайтів (різних партнерських програм), що мене кинули і не виплатили зароблені гроші. Інформую громадськість таким чином. Ось такі випадки (як секюріті програми, так і звичайні партнерські програми) можна було б винести на окремий сайт. Щоб уся така “негативна” інформація була на своєму сайті присвяченому ненадійним компаніям в Інтернеті.