Уязвимость сайта qip.ru
Ну, думаю прошло достаточное количество времени, и можно об этом написать.
И дабы избежать случившегося после опубликования статьи о Рамблере, и не уйти в бан, я выждал, отписал администрации, уязвимость закрыли. Так что, пишу я с совершенно чистой душой.
Значит, сделали ребята из qip.ru у себя на сайте выбор города, в котором ты живешь. Дату и время опытов, я оставлю при себе, иначе будет не хорошо, но скажу что не так давно.
После выбора города, ты получаешь сведения о погоде в своем городе, то есть, достаточно удобная плюшечка. Ну и как все, я решил воспользоваться, и воспользовался. И выяснилось, что сервис очень даже интересный, для некоторых.
Потыкав эту менюшку мышкой, был выбран город, и отслежены заголовки отправляемые на сервер. POST данные, выглядят примерно так:
code=RU_14_41145_24959
Немного осмотревшись, пробуем передать скрипту различного рода параметры, изменяя их как можем. И вуаля, в последнем параметре нас ждет сюрприз.Передаем что-то вроде:
code=RU_14_41145_24959abrabr!1
и видим красоту:
Опа, lfi, локальный файловый инклуд. Просто прелестно! Ну вот и все, опытным путем злоумышленник подбирает кол-во подъемов относительно корневой директории, и получает возможность просматривать различные системные файлы, в том числе, файлы конфигурации сервера. А если заинклдуить логи апача, предварительно снабдив их «ядовитым кодом» в поле User-Agent, то это вообще будет полноценный шелл. Ну мы то с вам добрые ребята, так что мы этим заниматься не стали.
Отписали администрации, переговорили с ихним ведущим программистом по аське, и нашли взаимопонимание. Благо программист у них парень хороший, и поговорили мы хорошо. Я объяснил что где, он закрыл. Правда закрыл не с первого раза, сначала они сделали замену "/" в переменной, то есть, была возможность юзать "\", и вот только через недельку после первого фэила, они залатали ее совсем. Вот и все, а мораль сего поста такова: фильтруй post, не используй Explode, ибо затеряешься среди массивов, и не отфильтруешь нужный, как это случилось с qip.ru.
И дабы избежать случившегося после опубликования статьи о Рамблере, и не уйти в бан, я выждал, отписал администрации, уязвимость закрыли. Так что, пишу я с совершенно чистой душой.
Новая дырявая плюшка
Значит, сделали ребята из qip.ru у себя на сайте выбор города, в котором ты живешь. Дату и время опытов, я оставлю при себе, иначе будет не хорошо, но скажу что не так давно.
После выбора города, ты получаешь сведения о погоде в своем городе, то есть, достаточно удобная плюшечка. Ну и как все, я решил воспользоваться, и воспользовался. И выяснилось, что сервис очень даже интересный, для некоторых.
Осмотр
Потыкав эту менюшку мышкой, был выбран город, и отслежены заголовки отправляемые на сервер. POST данные, выглядят примерно так:
code=RU_14_41145_24959
Немного осмотревшись, пробуем передать скрипту различного рода параметры, изменяя их как можем. И вуаля, в последнем параметре нас ждет сюрприз.Передаем что-то вроде:
code=RU_14_41145_24959abrabr!1
и видим красоту:
Опа, lfi, локальный файловый инклуд. Просто прелестно! Ну вот и все, опытным путем злоумышленник подбирает кол-во подъемов относительно корневой директории, и получает возможность просматривать различные системные файлы, в том числе, файлы конфигурации сервера. А если заинклдуить логи апача, предварительно снабдив их «ядовитым кодом» в поле User-Agent, то это вообще будет полноценный шелл. Ну мы то с вам добрые ребята, так что мы этим заниматься не стали.
Good-boys
Отписали администрации, переговорили с ихним ведущим программистом по аське, и нашли взаимопонимание. Благо программист у них парень хороший, и поговорили мы хорошо. Я объяснил что где, он закрыл. Правда закрыл не с первого раза, сначала они сделали замену "/" в переменной, то есть, была возможность юзать "\", и вот только через недельку после первого фэила, они залатали ее совсем. Вот и все, а мораль сего поста такова: фильтруй post, не используй Explode, ибо затеряешься среди массивов, и не отфильтруешь нужный, как это случилось с qip.ru.
комментарии (44)