место в рейтинге
  • 12675
  • 53
  • 7
Нравится блог?
Подписывайтесь!

kolesa.kz & krisha.kz — pentest!

Наверное только абсолютно ленивый человек не знает о таких ресурсах как kolesa.kz и krisha.kz, которые заслуженно считаются наиболее посещаемыми сайтами в своей тематике. Мне очень повезло, ведь мне удалось поработать с ними. И вот небольшой отчет по проверке на стойкость данных ресурсов, опишу некоторые ошибки которые мне разрешили опубликовать.

Хочу сразу заметить, проекты очень большие, наверное самые большие с которыми мне приходилось работать в Казахстане, и опираясь на  это могу сказать что разработчики ежедневно проделывают огромную работу по сохранению безопасности своих ресурсов.

И так начнем с XSS которые наверное есть практически во всех ресурсах КазNet'а (да и не только), найти их довольно не сложно.

Пройдя по ссылке "Аналитика", я запустил HTTP Live Header, что бы отслеживать какими данными обменивается браузер с сервером, ничего особенного я не увидел, но решил попробовать внедрить скрипт в поле page (page=1 указывается номер страницы), ничего не получилось, тогда я попробовал выйти за пределы количества страниц, т.е. страниц всего 14, а я указал 30024 (см.рис выше) и опять попробовал внедрить скрипт, и все получилось :)

------------------------------------------

Активная XSS

Активную XSS удалось обнаружить в комментариях т.е. можно было оставить специально сформированный javascript-сценарий, и каждый кто заходит на страницу (где оставлен комментарий) натыкается на выполнение javascript'a. Я хотел сделать редирект на сторонний ресурс, что бы с эмитировать возможность заражения посетителей сайта вредоносным контентом <script>document.location='http://owasp.org';</script>, но наткнулся на использование белых и черных списков, т.е. выходит так что сделать редирект на сторонний ресурс (за пределы сайта) невозможно, почти невозможно.

На помощь к нам пришел base64

<object data="data:text/html;base64,PHNjcmlwdD5kb2N1bWVudC5sb2NhdGlvbj0naHR0cDovL293YXNwLm9yZyc7PC9zY3JpcHQ+"></object>

javascript зашифровали в base64 и таким вот образом удалось обойти фильтрацию URL-адресов. Все что нужно это оставить наш комментарий на интересующей странице и ждать, когда же кто-нибудь зайдет посмотреть объявление.

------------------------------------------

 

Следующее что удалось обнаружить.

Включение и отключение комментариев чужого пользователя. Ситуация такая, вы разместили объявление но не хотите что бы кто-то комментировал его, и по этой причине отключаете возможность кому-то оставлять комментарии. Так вот отключение комментариев удалось обойти.

С помощью Live HTTP Header, я смог подсмотреть что же происходит при включении и отключении комментариев в личном кабинете, а происходит обращении по адресу:

http://krisha.kz/my/comment-change-status?aid=11230407&status=1

aid=11230407 - номер объявления (можно посмотреть в строке адреса)

status=1 параметр включения/отключения комментариев (0 - выкл, 1 - вкл)


и вот что в конечном счете мы имеем

 

Все что было найдено, было отправлено разработчикам, а те в свою очередь быстро, оперативно и качественно все исправили, и это очень приятно, ведь обычно большинству разработчиков (у нас в стране) нет дела до безопасности. А тут я наткнулся на заинтересованность, сразу видно что люди дорожат своим продуктом и имиджем. Более того, мне даже дали добро на публикацию отрывка из моего отчета, хотя обычно я слышу что-то вроде "Если я увижу это в интернете я тебя найду" :)

 

P.S.

Есть идеи? Пишите: sys32_89@mail.ru

https://vk.com/btuteev

   

Update: 9/06/2014

   

b4trjan b4trjan
17 апреля 2014, 17:53
1940

Loading...

Комментарии

Интересно было почитать :)
nikal
0
0
А разве за это не статья 227 ук рк?
нет, если проверка была по заказу самого проекта, а не личная инициатива.
nikal
0
0
а сони пикчерс у вас тоже заказ оформляли?
с sony все совсем по другому, была найдена уязвимость о ней было сообщено в тех.поддержку и только после исправления, уязвимость была опубликована.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Известные казахи, женившиеся на русских женщинах

Известные казахи, женившиеся на русских женщинах

Говорят, что за каждым великим мужчиной стоит женщина. А еще говорят что, все великие люди меняют судьбу своего народа. Так давайте узнаем больше о русских женщинах, навсегда изменивших жизнь...
Shala-Kazakh
17 февр. 2017 / 23:21
  • 35682
  • 81
Архивные фотографии Алма-Аты из семейного альбома. Ностальгический пост

Архивные фотографии Алма-Аты из семейного альбома. Ностальгический пост

Насобирал разных фотографий про наш город, из семейного архива. Фотографии не от сканированные, а пересняты на телефон. Давно хотел выставить, но не решался) Сейчас уже мы все поменялись, уже...
Ispanec
вчера / 11:05
  • 10293
  • 23
Вспомнились слова однокурсника: «Не завидую твоему будущему мужу»

Вспомнились слова однокурсника: «Не завидую твоему будущему мужу»

Среди моих знакомых есть одна милая девушка, она тоже молодая мама как и я. Очень открытая, видная, недавно вышла на работу. У нее счастливая семья и все, тьфу-тьфу, складывается хорошо.
Roza_pvl
19 февр. 2017 / 11:49
  • 5493
  • 43
Утверждён график выходных дней для жителей Казахстана в марте

Утверждён график выходных дней для жителей Казахстана в марте

Казахстанцы отдохнут около полумесяца в грядущем марте. В связи с праздниками в марте ожидается четыре дополнительных выходных дня. Первый, разумеется, выпадает на главный женский день в году, а...
Seattle
17 февр. 2017 / 13:20
  • 4677
  • 4
«Ау, дорогой, проснись! 21 век на дворе давно!». Бездипломный-безработный-бесквартирный!

«Ау, дорогой, проснись! 21 век на дворе давно!». Бездипломный-безработный-бесквартирный!

Ну реально же, парни, откуда вы только беретесь такие простые, а? Я сейчас просто расскажу несколько историй из личного опыта, и судите сами – нормально это? Но для начала расскажу немного о себе...
socium_kzo
вчера / 11:38
  • 4826
  • 89
Как купить свое жилье при зарплате в 100 тысяч тенге

Как купить свое жилье при зарплате в 100 тысяч тенге

Итак, по просьбам трудящихся и по крикам души коллективного бессознательного решила я написать пост на эту тему. Вводные данные: 1) нет имущества, которое можно продать для покупки собственного...
DanaJarlygapova
20 февр. 2017 / 16:17
  • 3806
  • 45
Диана Шурыгина – жертва или змея? Девочка красивая, а весь мир судит её именно за это

Диана Шурыгина – жертва или змея? Девочка красивая, а весь мир судит её именно за это

Я совсем не смотрю передачу "Пусть говорят", слишком много ругани и негатива, но новость про какую-то девушку заполонила все мои социальные сети, я открыла youtube и посмотрела несколько передач...
Roza_pvl
вчера / 11:49
  • 3573
  • 31
50 бизнес-встреч с лучшими предпринимателями Астаны. «Наш бизнес начинался как хобби»

50 бизнес-встреч с лучшими предпринимателями Астаны. «Наш бизнес начинался как хобби»

Друзья, представляю вашему вниманию второго героя моей рубрики "50 бизнес-встреч с лучшими (по моей версии) предпринимателей Астаны за 100 дней" - Асхата Солтанова!
Kultursyn
20 февр. 2017 / 12:46
  • 3632
  • 18
Я не националист, но выйду замуж только за казаха. 22 факта обо мне

Я не националист, но выйду замуж только за казаха. 22 факта обо мне

Всем доброго времени суток! Поскольку сейчас долгожданные выходные, я болею и имею полное право ничего не делать за чашечкой горячего чая, то решила все-таки написать этакий скромный пост о себе...
Sserikyzy
18 февр. 2017 / 16:35