Top.Mail.Ru
? ?
entries friends calendar profile "Факты и мифы Беслана" Previous Previous Next Next
leon_spb67
leon_spb67
leon_spb67
И вот всё у них так.
Один из ведущих украинских новостных сайтов. Дырка в коде - на уровне начальных классов програмистского ПТУ. Позволяет нагнуть как юзеров, резвящихся в комментах, так и модераторов, а если потрудиться, то и админов.
Я думал, такого уже не бывает, тем более на сайтах такого уровня. Примитивнейший XSS.

korr
23 comments or Leave a comment
Comments
terrious From: terrious Date: February 11th, 2015 01:41 pm (UTC) (Link)
А чего Javascript ? ИМХО, если там не обрабатывается энкодинг запросов - можно запросто и SQL-inject сделать :)
leon_spb67 From: leon_spb67 Date: February 11th, 2015 01:45 pm (UTC) (Link)
Нет преград :)
Мне лениво.
leon_spb67 From: leon_spb67 Date: February 11th, 2015 01:49 pm (UTC) (Link)
Удивительно, как они с таким счастьем - и еще живы.
terrious From: terrious Date: February 11th, 2015 05:20 pm (UTC) (Link)
Видимо потому же, почему Джо был "неуловимый" :)
leon_spb67 From: leon_spb67 Date: February 11th, 2015 05:23 pm (UTC) (Link)
Сайт посещаемый, домен кошерный. Можно денежек извлечь
terrious From: terrious Date: February 11th, 2015 05:24 pm (UTC) (Link)
Для денежек - надо пути знать. Иначе могут "принять" :)
leon_spb67 From: leon_spb67 Date: February 11th, 2015 05:29 pm (UTC) (Link)
Ну так те, кто дырки юзает, пути знают. Вот я и удивляюсь, что их еще не поимели. За такими сайтами охота идет
bambr1 From: bambr1 Date: February 11th, 2015 01:58 pm (UTC) (Link)
для безграмотных на пальцах можешь объяснить?
leon_spb67 From: leon_spb67 Date: February 11th, 2015 02:08 pm (UTC) (Link)
В форме поиска не фильтруются спецсимволы - теги, кавычки, скобки и пр. Следовательно, можно сформировать ссылку, при переходе на которую, браузер пользователя выполнит произвольный скрипт в контексте этого сайта. Например, можно украсть у пользователя куки и залогиниться от его имени. Если по такой ссылке пройдет админ или модератор - можно получить доступ в админку сайта.

На скриншоте я ввел простой яваскрипт, печатающий куки посетителя на странице и, как видим, это сработало.

Теоретически, можно выполнить и произвольный запрос к базе данных сайта - а это вообще даст контроль над сервером.
sdvsamara From: sdvsamara Date: February 11th, 2015 02:20 pm (UTC) (Link)
Что-то у меня такой поиск не вернул куки, сработал как обычный поиск.
leon_spb67 From: leon_spb67 Date: February 11th, 2015 02:22 pm (UTC) (Link)
Там иконка поиска в шапке. Оттуда попробуй
sdvsamara From: sdvsamara Date: February 11th, 2015 02:24 pm (UTC) (Link)
Ей и пробовал. Может залогиниться нужно?
leon_spb67 From: leon_spb67 Date: February 11th, 2015 02:26 pm (UTC) (Link)
Не нужно
leon_spb67 From: leon_spb67 Date: February 11th, 2015 02:30 pm (UTC) (Link)
Вот еще раз попробовал. Всё пашет. Вот кусок кода страницы с дыркой:

korr2
sdvsamara From: sdvsamara Date: February 11th, 2015 02:42 pm (UTC) (Link)
А у меня пишет: 1-20 результат из 120010 по запросу «»

Но всё оказалось просто. Не получалось у меня в Хроме. Он, зараза, печать куки и вырезал. А вот в IE, всё прошло на ура.
leon_spb67 From: leon_spb67 Date: February 11th, 2015 02:52 pm (UTC) (Link)
Ага, я так и думал, что это браузер или антивирус режет
volk_nn From: volk_nn Date: February 11th, 2015 02:42 pm (UTC) (Link)
В хроме уязвимость не воспроизводится.

В опере и мозилле на ура.
sdvsamara From: sdvsamara Date: February 11th, 2015 02:44 pm (UTC) (Link)
И ещё в IE на ура. Уже попробовал.
volk_nn From: volk_nn Date: February 11th, 2015 02:52 pm (UTC) (Link)
Я в нём даже не сомневался )
leon_spb67 From: leon_spb67 Date: February 11th, 2015 02:54 pm (UTC) (Link)
Хотя, чего ждать от укров, если даже на сайте ЦРУ я ХSS нашел :))
Ден У From: Ден У Date: February 11th, 2015 04:24 pm (UTC) (Link)
не, ну это занадто...
ignoble_doc From: ignoble_doc Date: February 12th, 2015 03:59 pm (UTC) (Link)

Кстате о абажурналистах

Корреспондент НоГи закинулся коксом непосредственно в прямом эфире:



с 0:00 до 0:30

Рассказывать о Смерчах, обстреливающих Донбас, сразу стало проще.
leon_spb67 From: leon_spb67 Date: February 12th, 2015 06:17 pm (UTC) (Link)

Re: Кстате о абажурналистах

прелестно
23 comments or Leave a comment