Уразливості на saitodel.com

19:20 06.10.2007

11.05.2007

У січні, 04.01.2007, я знайшов декілька Cross-Site Scripting уразливостей на проекті http://saitodel.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

06.10.2007

XSS:

POST запит на сторінці http://saitodel.com/contact/:

"><script>alert(document.cookie)</script>В полях: Ваше имя, Ваш е-mail, Ваш тел., Ваш веб-сайт.

</textarea><script>alert(document.cookie)</script>В полі: Ваше сообщение.

Дані уразливості (що наявні в плагіні WP-ContactForm) досі не виправлені.


11 відповідей на “Уразливості на saitodel.com”

  1. Slava каже:

    Мда ты заставив мене задуматись. Вордпресс по ходу дирявий - а я йому так довіряв.

    А є якась безпечна альтернатива плагіну контакт форм ?

    Взагалі толково ти розчесав де є глюки - ти займаєшся безпекою проффесійно ?

  2. Сашко каже:

    Slava, навіщо було використовувати систему управління для такого простого проекту? Вистачило би 4ох строрінок з простенькою формою з фільтрацією чи/або екрануванням символів. Хто не розуміється, той не зацінить, що у вас є авторизація, система управління, форма, яка приховує е-адресу і таке інше. А хто “цікавиться”, може дати привід задуматися ще більше ;)

  3. Slava каже:

    ну простенький він тому що ним ніхто не займається - в проекті це мало все мало бути серйозним проектом.

    да і по правді кажучи навіть для сайту з 2 сторінок я би використовував систему управління так як це срощує розширення і модифікації в рази

  4. MustLive каже:

    Сашко, ти вірно підмітив, що Слава використав CMS без великої необхідності. При бажанні можна було б для цього проекту обійтися і без CMS - лише декількома html сторінками та скриптом-формою відправки. Але у Славіка явно є звичка використовувати Wordpress.

    До речі, про інші проекти Слави (на WP), я ще згадаю в новинах ;-) (як мінімум про ще один).

  5. Slava каже:

    МастЛайв - ти мене насторожив ;) ти зараз про який проект згадав?

    да ВП це мія коронна пратформа - не можу натішитись що на неї натрапив і тепер вже явно не зійду з неї - особливо після користування ВанКлікІнсталейшен на Дрімхості.

  6. MustLive каже:

    ну простенький він тому що ним ніхто не займається - в проекті це мало все мало бути серйозним проектом.

    Ну ви проектом займіться, Слава, раз вже CMS поставили.

    Розширюватися вам є куди, в тому числі й збільшувати об’єм послуг, що надаються. А покращення безпеки власного сайта, буде першим кроком в цьому напрямку.

  7. MustLive каже:

    да ВП це мія коронна пратформа

    Я теж люблю WP. Ось тому й вболіваю за його безпеку. І посилено вишукую в ньому дірки (про що регулярно згадую в новинах), щоб підняти його безпеку.

    МастЛайв - ти мене насторожив ;) ти зараз про який проект згадав?

    Почекай трошки, скоро дізнаєшся з новин (і адмін того сайта отримає листа від мене).

    P.S.

    Лайв - живий, а Лів - жити (це різні частини мови).

    Мій псевдонім читається як Мастлів - повинен жити. Цей сенс я і вкладав у свій псевдонім, коли його придумав (в 1998 році).

  8. Slava каже:

    Да ти правий в більшості - але нажаль невистачае в мене сил на проекти по сервісам - це занадто багато часу бере + привязує до географії\фінансів\людей.

    сервіс по розробці сайтів - класна штука але я її розвиваю в закритому варіанті - тобто розробка сайті виключно для себе. тому що розроблені собі сайти вже будуть працювати і вони не привязують так як клієнти\офіси\бухгалтери

    тобто повністю електронна комерція - а розробка сайтів в наших реаліях це більше офлайновий консалтінг ніж онлайнове виробництво.

    але в ракурсі безпеки - це дійсно напрямок який варто проробляти (і яким я взагалі не займався поки що)

    тому я і запитував чи займаєшся ти цим проффесійно ;)

    доречі краще на ТИ - я не настільки старий

  9. MustLive каже:

    сервіс по розробці сайтів - класна штука але я її розвиваю в закритому варіанті - тобто розробка сайті виключно для себе.

    Сам переважно в цьому режимі працюю, за 8 років веб девелопінгу. Чимало проектів розробив на замовлення, але й чимало для себе (і з часом ця частка лише зростає). Тому тут я тебе розумію :-) .

    але в ракурсі безпеки - це дійсно напрямок який варто проробляти (і яким я взагалі не займався поки що)

    Це потрібна справа, про що я усім щоденно нагадую. І тобі в тому числі. Тому обов’язково приділяй питання безпеці своїх веб проектів, інформація на моєму сайті стане тобі в нагоді (зокрема зверни увагу на мій Посібник з безпеки).

    тому я і запитував чи займаєшся ти цим проффесійно

    Займаюся професійно, Слава. На твій перший пост я ще окремо відповім, бо зараз як раз був зайнятий оновленням іншого мого веб проекту.

    доречі краще на ТИ - я не настільки старий

    Та я на “ти” :-) . В тому пості йшлося про твою студію, тому й на “ви”, мовляв вас там багато робітників.

  10. MustLive каже:

    Мда ты заставив мене задуматись.

    Кожен день намагаюся заставити замислитися веб діячів (як в Уанеті, так і Рунеті та в Інтернеті в цілому) з приводу безпеки їх сайтів. І за рахунок збільшення безпеки окремих сайтів, підняти рівень безпеки всього Інтернета. Тому приділяй увагу цьому аспекту.

    Ну а за безпекою WordPress слідкуй, в тому числі з моїх новин. І виправляй дірки або оновлюй движок, про що я тобі в листі казав.

    А є якась безпечна альтернатива плагіну контакт форм ?

    Цією темою не цікавився, взагалі не дивився на цю категорію плагінів до WP. Плагін WP-ContactForm єдиний з них, що потрапив в моє поле зору. Кожен плагін треба перевіряти на безпеку (як і сайт уцілому), на чому я постійно наголошую. Тому ти або передивися усі плагіни контактних форм, або виправ дірки в цьому, або ж напиши власний. Чи взагалі не користуйся подібними плагінами.

    Взагалі толково ти розчесав де є глюки - ти займаєшся безпекою проффесійно ?

    Слава, я щодня людям пишу про дірки в їхніх веб сайтах та веб додатках - в рамках моєї діяльності соціального секюріті аудиту.

    Так займаюся. З цього приводу зазначу.

    1) Стосовно орфографії: я займаюся професійно, а не проффесійно - з цього приводу до Проффесора :D звертайся (в цьому плані треба до Віктора Федоровича).

    2) Стосовно веб безпеки: так займаюся професійно. Тому й зробив даний веб проект. Де займаюся дослідженнями в галузі веб безпеки, просвітницькою діяльністю та надаю послуги з аудиту безпеки (окрім мене в Україні аудитом сайтів мало хто займається).

  11. MustLive каже:

    Slava, я мав на увазі цей сайт - podcasting.com.ua. Коли говорив про уразливості на іншому твоєму веб проекті.

Leave a Reply

You must be logged in to post a comment.