WebSupport.sk
UnlimitedHosting
|
CustomHosting
|
FreeWeb.sk
Povodne mal byt tento blog vydany pocas vianoc 2008 ako Recept na web sajty II, kde som sa chcel zamerat na sk/cz weby a velmi caste chyby, cez ktore sa da dostat do administracie. Chybnych sajtov som vsak nasiel tolko, ze ma omrzelo vypisovat si s adminmi, vsetkych upozornovat a cakat na napravy (medzi nimi bola i jedna znama televizia, znamy web poskytovatel, s ktorym som si uzil vela zabavy, ci tvorca redakcneho systemu, ktory bol zabugovany :))
Po vsetkych tych natahovackach som sa vsak rozhodol, ze napisem iny, zaujimavejsi blog, kde nebudem rozoberat jednotlive bugy, ale poukazem na zranitelnost sajtov a reakcie dotknutych ludi.
Obcas si zvyknem na profesii pozriet nejake tie zaujimave pracovne ponuky, ale vzdy sa vytocim tym, ze skoro nik neuvadza ani len pribliznu platovu hladinu, ktora by vo mne vzbudila prirodzeny zaujem a mozno by som sa prekonal a zasiel aj na pohovor :). A tak to vlastne zacalo.
Jedneho dna som objavil zaujimavy inzerat od pomaranca, kde ponukali pracu unixoveho admina. Orange je velka spolocnost a k tomu telekomunikacna... Kolko tak asi mozu zarabat? Tak som im napisal mail, v ktorom som nacrtol nieco zo svojich skills a rozhodol som sa pridat aj nejaky ten testik ich webov :).
Ako si tak prezeram ich sajty, zrazu som to nasiel :)...
Viaaanoceeee salala....
Toto mi normalne vyletelo z ust, nakolko som bol po sviatkoch uplne zblbnuty z tych reklam v TV. Po chvilke som si uvedomil, ze je to ale reklama od konkurencie :)
Tak nejaky ten XSS pre zaciatok. Ukazky z administacie jedna, dva, a tri. (okrem tychto sajtov sa bug nachadza aj na inej stranke, sreenshots vsak neuvadzam).
Dalsia "chybicka" sa nachadzala priamo v redakcnom systeme stranky :).
A odtialto orindzaci robia recenzie :).
Taka perlicka: V case, ked som sa im pozeral na zubky, mali v databaze presne 1064 vulgarizmov, na zaklade ktorych automaticky recenzovali prispevky :). Tak napr.:
pic, p*ic, p ic, p*i*c, p i c, pi*c, pi c, kokot, k*okot, k okott, atd...
Heh, chyby som objavil, dostal som sa do administracie, a tak som im pekne napisal mail. Samozrejme na druhy den sa mi ozval pravdepodobne personalista, ktory ma uistil, ze informacie o platovych podmienkach mailom neposkytuju a zaroven podakoval za upozornenie na chyby ich portalov. Dalo sa to cakat... No stale nechapem, preco neprezradia aspon nejake cca.(Ak mate nejake info o vyske platov v pomaranci, mozete prispiet do diskusie pod blogom.)
Az po mojej druhej urgencii, ci mienia nieco robit s bezpecnostou stranok, sa mi ozvala nejaka "IT proficka", ktora mi podakovala a prezradila, ze info o bezpecnostnom probleme dostali az na druhy krat (t.j. az po 5-tich dnoch od prveho upozornenia. pekny bordel...). Vraj kolegovia problem uz riesia... No riesia to nejako pridlho, pretoze od vtedy prebehlo uz nejakych 6 dni :). (ci uz problem odstranili uplne netusim. neoveroval som to. Mali vsak dost casu na zaplaty).
Ked uz som takto pochodil u pomaranca, moj zaujem prirodzene smeroval aj ku konkurencii...
Viaaanoceee salala.....
Tak a teraz som si konecne mohol zaspievat tu priondenu pesnicku, kde nejaka kocka pobehuje s mobilom :). I ked nie celkom t-mobile, ale aspon t-com, co je pri zavreti oboch oci to iste :).
Aj ked nie nejaky otrasny bug, ale dalo sa aspon popozerat na zdrojaky t-comu. A zrovna na stranke, ktora sluzi na informaciu o vypisoch pre uzivatelov. Na priklade vidno, ze cosi nie je v poriadku. Ano, po zobrazeni zdrojaka stranky vidno nieco taketo:
Application version 9.X
Page version 9.01
Author: xxxx yyyyyyy
Last update: 25.2.2005 // dost stary kod, pravda?
username=3Dlcase(trim(Request("username")))
Session("USERNAME")=3Dusername
password=3Dtrim(Request("password"))
if lcase(Session("username"))=3D"vypis" then
Session("USERNAME")=3D"vypis"
Session("PASSWORD")=3D"vypis"
end if
atd...
Po upozorneni o bugu, ludia z t-comu odstranili nedostatky do druheho dna. Oficialne podakovanie za upozornenie prislo o 3 dni.
Co sa vlastne stalo? Kde su ti IT odbornici? Moze za to sucasna hospodarska kriza, alebo som len ocakaval profesionalnejsi pristup? Neviem, ci si vobec zodpovedni uvedomuju, ako krasne sa im daju upravit stranky, co vsetko sa da vyviest uzivatelom, ktori stranky navstivia.
Na zaver by som rad nadhodil temu do diskusie. Ma vobec niekto pravo hladat chyby na weboch a potom este drzo na ne upozornovat? Alebo je lepsie chybu najst a nechat si to pre seba. (ved mozno sa to zide...). A co dotknuta strana? Ako sa ma zachovat? Teda podla mna je samozrejmostou slusne podakovat a snazit sa chyby co najskor odstranit. Ale mam skusenosti, akoby sa admini/koderi hanbili kontaktovat cloveka, ktory ich na bug upozornil, hoci som vzdy svoje upozornenia zakoncil niecim ako "v pripade problemov pri odstraneni chyby ma nevahajte kontaktovat". A ked mi potom niektori s velkou pompou oznamili, ze bugy odstranili, obratom som ich vyviedol z omylu....
P.S.: Tento blog som povodne uverejnil tu na bh 19.1.09, ale z osobnych dovodov som ho musel na cas stiahnut. Tymto sa ospravedlnujem krymovi, ktory sem prvy postol koment.
<sixeR> KURVA
<sixeR> zaspal som na posteli, zaspal
<sixeR> a zobudil som sa tak, ze pod sebou vidim kaluz krvi, nadomnou otec
<sixeR> a rozjebay xicht
<kab-el> ??
<kab-el> ti rozbil ksicht ked zistil, ze si buzerant?
<sixeR> kabel ty kokot :D
<sixeR> ja tu mam ohrozenie zivota 3000, strata krvi
<sixeR> lahky otras mozgu pomaly
|
webhosting by:
WebSupport.sk
|
UnlimitedHosting | CustomHosting | FreeWeb.sk |
Comments
Re: Viaaanoceee salala
nelegalne je len zneuzitie informacii cize ak sa tam aj naburas mizes tam byt kym nic nekopirujes nemazes alebo inak nepouzivas vo svoj prospech :) a upozornovanie na chyby je podla mna len tvoja dobra vôla a mali by ti podakovat
MaDe By SoNeT
Re: Viaaanoceee salala
ja som im tiež písal, ale nemajú to zabezpečené, a o jobconte ani nehovorím, topjobs a ponuky.sk detto :) a to neviem ani hačkovať
__________________________
http://www.youtube.com/watch?v=5a4ZMoEc1VU
Re: Viaaanoceee salala
Tento týždeň som našiel - prisahám, že fakt náhodou - jeden škaredý bug na profesii, odpovedali na druhý deň a zachovali sa absolútne profesionálne. Chceli mi dokonca poslať nejakú "pozornosť" ako odmenu. Chybu som nezverejnil nikde, či je už fixnutá som neoveroval.
K tomu právu na hľadanie chýb... povedal by som, že hranica medzi bežným používaní webovej aplikácie a zámernom hľadaní zraniteľností je nekedy veľmi tenká a úmysel poškodiť môže byť fakt veľmi ťažké dokázať. Reakcia adminov dosť často záleží aj od spôsobu akým správu o chybe formuluješ. Ak je z tvojho mailu cítiť, že si na to prišiel náhodou a niečo v zmysle, že profesionálna česť ťa núti to oznámiť, nevidím dôvod aby to niekomu vadilo a podával trestné oznámenia. Samozrejme niektoré spôsoby hľadania zraniteľností sú zjavne umyselné a ťažko hovoriť o náhodnom zistení chyby.
Právo na hľadanie chýb IMHO neexistuje, ak to robíš/robíme so zámerom niečo nájsť, je to podľa mňa trestne stíhateľné. Testotvať zraniteľnsť bankových aplikácií je už napríklad vec, na ktorú by som žalúdok nemal a trestným oznámeniam z ich strany by som sa vôbec nečudoval. Skôr by mi prišlo divné ak by sa nebránili.
Re: Viaaanoceee salala
Ja len k tej veci ci ma niekto pravo hladat chyby...
Niesom ziadny velky odbornik ani nic take, ale ked sa na jednom serveri pre "tych co chodili do tej istej triedy" pisalo, ze si mozete ..bla bla bla...bez toho aby sa k vasim udajom dostal ktokolvek iny, tak ma to tiez trochu "nakoplo", ked sa dalo dostat ku vsetkym veciam uplne primitivne prepisanim adresy. A este aby to opravili tak som im musel asi 4-5 krat poslat mail...
Takze moj nazor je myslim jednoznacny. A co sa tyka zranitelnost bankovych aplikacii, to je ved druha. Suhlasim s pa3kom, ale nebolo by naskodu ak by to sem tam niekto omrkol...
Re: Viaaanoceee salala
aku chybu? to ma zaujima :) staci do pm len vseobecne, nezaujima ma jej lokacia ani presny popis.
to ze nieco overujem predsa neznamena, ze to chcem zneuzit. velmi jednoducha odpoved na otestovanie IB je ta, ze chcem vediet, ci su moje peniaze v bezpeci (kedze IB mozes otestovat len ako klient) a ako klient mam podla mna narok vediet, ake opatrenia robi banka pre to, aby som o peniaze neprisiel.
co sa tyka ostatnych spolocnosti, aj tak by som chcel vidiet, ako by pred sudom dokazovali a oznacovali zamerny pentest a co by z neho chceli vyvodit, ked pentest (standardne) obsahuje najdenu zranitelnost. vytvorit exploit je uz nieco ine, ale to samozrejme vyzaduje aj trosku iny pristu, takze ja sa tohoto nebojim.
zatial podala trestne oznamenie jedina spolocnost a aj tam to cele padlo, kedze sa nikam nevedeli dostat. ak neurobis to co chalani pri NBU, tak si nemyslim, ze by to mohlo zajst az tak daleko. Ale zivot je sam ucitel, takze mozno sa mylim a rychlo sa mi moja teoria rozpadne.
------------------------------
http://blog.synopsi.com
Re: Viaaanoceee salala
Vpodstate z etického hľadiska súhlasím, ak to testnem ako klient, dáva to zmysel aj u homebankingu. Mám asi určité právo možnosti overiť si zabezpečenie, aj keď asi úplne v súlade s dobrými mravmi :-D by to malo byť vopred ohlásené druhej (zmluvnej) strane. Navyše - útočím predovšetkým na systém ochrany, ktorý mi nepatrí a jeho majiteľ sa zásahom môže cítiť minimálne doknutý ak nie poškodený. Do cudzieho by som sa bezdôvodne :-] nedobíjal, resp. by som asi chápal mieru nasranosti majiteľa toho IS.
Čo sa týka tej chyby, tak máš info v PM, nechcem to zverejňovať, pred chvíľou som na to pozeral a nemajú to ešte fixnuté.
Re: Viaaanoceee salala
je vidiet, ze aj ty nemas co po veceroch robit :)
myslim, ze sa ti podarilo ponachadzat par peknych veci, skoda je napriklad aj to, ze spolocnosti pouzivaju vstavanu ochranu systemov, ktore beru bohvie kde (myslim napr autentifikaciu na web). keby k tomu vzdy prihodili dodatocne overenie, ako napriklad overovanie ip adresy a pod, tak by sa podobne veci nestali.
ja som si presiel minuly rok presne 1309 pripadmi (podla mailoveho outboxu), kedy som poslal oznamenie nejakej spolocnosti s jej chybami na webe, alebo serveri. vysledok by som rozdelil do dvoch polovic. prva co predstavuje tak asi 30% bola nadsena, alebo aspon vdacna a podakovala. zvysnych 70% sa da zas rozdelit na polovicu, kedy prva neodpovedala, druha to riesila rozne. vyhrazkami, invektivami, apd. na ciny doslo len od jedinej spolocnosti aj to si to rychlo rozmysleli, no i tak.
prave to ma pevne presvedcilo prestat pomahat. nestoji mi to za tu namahu, dostat sa k takemu vysledku, i ked pravdou je, ze som si vytvoril vdaka tomuto dve velmi zaujimave priatelstva, ktore by zarucene nevznikli.
ja som tiez presiel tymi portalmi co ty, teda ich matkami. z t-comu sa da "zadarmo" dobijat kredit, z orange posielat free spoofed sms do sveta a dumpnut data uzivatelov, atd. popozeraj, urcite to najdes aj ty
je tam toho omnoho viac, ale vobec mi to nestoji za to im to pisat. inak, ak chces zarucene natrafit na problemy, tak sa zameraj na banky, ja uz len cakam na dorucenie trestnych oznameni :)
------------------------------
http://blog.synopsi.com
Re: Viaaanoceee salala
Vzdy ked si citam Tvoje prispevky, tak sa cudujem, odkial beries odvahu preverovat take institucie, ako su banky, resp. spolocnosti, ktore s urcitostou maju svojich pravnikov.
Predpokladam, ze o pravnom probleme takehoto pristupu mas co-to nastudovane ..
Ja som koli tomuto prispevku troska poguglil a ak sa nemylim, tak o neopravnenych pristupoch do pocitacovych systemov pojednava § 247 trestneho zakona: 'Poškodenie a zneužitie záznamu na nosiči informácií' ..
Kedze nie je dlhy, tak ho tu hodim:
----------------------------
§ 247 (1) Kto v úmysle spôsobiť inému škodu alebo inú ujmu alebo zadovážiť sebe alebo inému neoprávnený prospech získa neoprávnený prístup do počítačového systému, k inému nosiču informácií alebo jeho časti a
a) jeho informácie neoprávnene použije,
b) také informácie neoprávnene zničí, poškodí, vymaže, pozmení alebo zníži ich kvalitu,
c) urobí zásah do technického alebo programového vybavenia počítača, alebo
d) vkladaním, prenášaním, poškodením, vymazaním, znížením kvality, pozmenením alebo potlačením počítačových dát marí funkčnosť počítačového systému alebo vytvára neautentické dáta s úmyslom, aby sa považovali za autentické alebo aby sa s nimi takto na právne účely nakladalo,
potrestá sa odňatím slobody na šesť mesiacov až tri roky.
§ 247 (2) Rovnako ako v odseku 1 sa potrestá, kto na účel spáchania činu uvedeného v odseku 1
a) neoprávnene sleduje prostredníctvom technických prostriedkov neverejný prenos počítačových dát do počítačového systému, z neho alebo v rámci počítačového systému, alebo
b) zaobstará alebo sprístupní počítačový program a iné zariadenia alebo počítačové heslo, prístupový kód alebo podobné údaje umožňujúce prístup do celého počítačového systému alebo do jeho časti.
§ 247 (3) Odňatím slobody na jeden rok až päť rokov sa páchateľ potrestá, ak spácha čin uvedený v odseku 1 alebo 2 a spôsobí ním značnú škodu.
§ 247 (4) Odňatím slobody na tri roky až osem rokov sa páchateľ potrestá, ak spácha čin uvedený v odseku 1 alebo 2
a) a spôsobí ním škodu veľkého rozsahu, alebo
b) ako člen nebezpečného zoskupenia.
----------------------------
Z hore uvedeneho mi vyplyva, ze ak nemas v umysle poskodit, resp. zneuzit informacie, tak takyto pristup do systemov vlastne nie je trestny (mam na mysli pristup do systemu s naslednym informovanim zodpovednych ludi o jeho bezpecnostnej diere) .. Takisto sa z hore uvedeneho da skonstatovat, ze po zverejneni pristupoveho hesla do napadnuteho systemu (e.g. nbusr123) sa clovek dopusta trestneho cinu ..
Re: Viaaanoceee salala
na tieto veci moc odvahy netreba, staci dostatok hluposti :)
kazdopadne, myslim, ze je to hlavne kvoli tymto veciam:
- davam si relativne velky pozor na to co publikujem a radsej sa 3x opytam znalych osob, ci je to tak alebo tak spravne
- pri 99% najdem nieco, co spolocnosti zarucene publikovane vidiet nechcu. preto do otvoreneho sporu nechodia (aspon si to myslim, ale moc pripadov nebolo)
- mam dostatocne zabezpecene pripojenie (von idem cez kryptovane vpn a odtial cez niekolko priv proxy atd), takze verim, ze by bola celkom sranda mi cokolvek dokazat
- nevydieram jednotlive spolocnosti a vzdy ked im pisem, snazim sa im skor pomoct ako od nich nieco ziskat.
- davam priestor aj druhej strane, aby mohla jednotlive veci zazehnat, neodpublikoval som desiatky velmi neprijemnych veci, ktore by spolocnostiam asi dobre nepadli. vzdy sa so mnou da rozumne dohodnut, hlavne ak ako prve nepadnu vyhrazky a invektivy, tak to je relativne jednoduche
najdolezitejsia je aj velka davka stastia. uvidime, dokedy vydrzi :)
------------------------------
http://blog.synopsi.com