Введен в строй сайт Perl.org — первые дыры (upd: уже заткнули)

Информационная безопасность*

upd5: Уязвимость ликвидировали, но топик удалять не буду, ибо обсуждение интересней топика :-)

Введен в строй новый сайт perl.org, полный пошлейших XSS дырок. Первая же проверка обнаруживает дыру!

Судя по заголовкам, хостится на каком-то старье:

Server: Apache/1.3.33 (Unix) mod_perl/1.29

Про дизайн я молчу, скриншот сделан в FF3, видны сразу два разъехавшися элемента.
Куда катится мир?? 8-O

Была у меня мысль написать этим кренделям, но дыр оказалось столько!.. просто на каждом шагу. Ну их, думаю, к бесу — могила их исправит.

upd Застыдили меня тут в комментариях, закарили, законфузили… и решил я писмо писать разработчикам. Уже некоторе время ищу на сайте куда писать. Пока не нашёл. Не могу не поражаться этому чудо-сайту. Всякие школные порталы нервно курят в сторонке.

upd2 Как связаться с разработчиками — так и не понял. Нашёл ветку на use.perl.org с обсуждением этой новости. Все писают кипятком и рассыпаются во взаимных поздравлениях. Чтобы написать — нужна регистрация. Я там регистрироваться не хочу. И я больше не хочу тратить вечер пятницы на то, чтобы копаться в этом гнезде дурачков (при всём уважении, слова другого нет). Если кто хочет — напишите этим товарищам. Спасибо.

upd3 Нет :-) Не отпускает меня :-) Заинтригованный многочисленныхми указаниями в комментариях, я провёл небольше исследование, каково родство perldoc.perl.org и perl.org. Оказалось, что вся эта перлокухня хостится на XXX.develooper.com. Обновления, похоже, затронули только сайты, расположенные на x3.develooper.com, да и то — не все. Так learn.perl.org явно обновился, обновился и dbi.perl.org, тогда как jobs.perl.org, planet.perl.org, dev.perl.org… похоже, не обновлялись, хотя расположены там же — на x3.develooper.com. Но самое главное — perldoc.perl.org расположен на x4.develooper.com и действительно далёк от живительных обновлений в перлоцарстве. Там же расположены cpan.perl.org, blob.perl.org и многое другое.

Итого: я должен покаяться. Дыра в perldoc.perl.org, по всей видимости, не является последствием обновлений, а является очень старой дырой. Интересно, её никто не замечал годами (перл на столько никого не интересует?? ,-)) или про неё знают, но не собираются исправлять??

Лично я потрясён. Как так можно?!!!

upd4 Отбой! Дырку заткнули :-) Оперативненько — пара часов — и готово! :-)

+67

13 ноября 2009, 19:53

michurin 89,3

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

комментарии (62)

Andrey_Rogovsky 13 ноября 2009, 20:03 #

А может стоит написать? Это все можно прикрыть через mod_security, малой кровью

michurin 13 ноября 2009, 20:07 # ↑

Вот сижу и думаю, как бы это вежливо написать… Как ни напиши звучит примерно как «сэры, вы обосрались». Неужто перл совсем сдох? :-( Ясно, что все там будем, но не ранова-то ли?

НЛО прилетело и опубликовало эту надпись здесь

otaqsun 13 ноября 2009, 21:27 # ↑

А с другой стороны получается что если больно и показательно не бить, то как то история повторяется раз за разом.

moadib 13 ноября 2009, 20:12 #

Бегло прочитал — «Выведен из строя» :) Судя по содержанию поста можно и так читать :)

Napolsky 13 ноября 2009, 20:16 #

обидно за перл =(

vazik 13 ноября 2009, 20:20 # ↑

Перл не при чем, а вот кодеры…

–7

rev 13 ноября 2009, 20:20 #

Look at you, hacker. A pathetic creature of meat and bone. How can you challenge a perfect, immortal programming language?

+10

zw0rk 13 ноября 2009, 20:35 # ↑

так вроде к ЛИСПу у автора претензий в посте нет :))

zloe 13 ноября 2009, 20:20 #

не в перлу дело, дело в прогерах что писали сайт. например сам немного пишу веб на перлу, но в основном это интерфейсы для биллинга для внутренего использования, возможно там такие же програмисты, этот сайт может быть ихним хобби, если не можете помочь — просто опешите проблему.

zloe 13 ноября 2009, 20:26 # ↑

извините за граматику :-[

alist 13 ноября 2009, 22:35 # ↑

За грам_м_атику и орфографию, вы хотели сказать? Держите плюс, чтоб не расстраиваться. С пятницей вас и приятных выходных :)

–1

kossnocorp 13 ноября 2009, 20:24 #

Все у них с версткой в порядке, по крайней мере со стороны юзера.

Слона из мухи.

Kicker 13 ноября 2009, 21:27 # ↑

вопроса два:

1. какой у Вас FF стоит?
2. И что Вы имеет ввиду когда пишете — «по крайней мере со стороны юзера»?

–6

kossnocorp 13 ноября 2009, 21:43 # ↑

3.5

Внешне все ок, код смотреть не стал.

Zada 13 ноября 2009, 20:25 #

А вам не кажется, что именно Perl.org и то что у вас на скриншоте могут быть совершенно разными вещами? На вид разница между ними лет 5. Вывод: желтый заголовок.

CriggerMarg 13 ноября 2009, 20:35 # ↑

а вы заходить не пробовали на сайт?
заболели все вокруг, понимаешь, желтыми заголовками

imps 13 ноября 2009, 21:02 # ↑

лично у меня по ссылке ничего похожего на скриншот

Да и судя по заголовкам там всё таки:
Apache/2.0.55 (Unix)

Zada 13 ноября 2009, 22:40 # ↑

Естественно пробовал. Вы говорите о Perl.org, а ваша ссылка ведет на perldoc.perl.org — разницу видите?

false 13 ноября 2009, 20:45 #

Дыры сделали специально. Черный пиар нах!

Captcha 13 ноября 2009, 21:02 #

Прикрыли, похоже, багу с XSS

–5

traaance 13 ноября 2009, 21:03 #

Да ну чего вы удивляетесь. Это же опенсорс. От каждого по способности — каждом по потребности. Вот какой-то студент-«первак» и сел делать этот портал. К дипломированию как раз всё доделает ;)

з.ы. не холивара ради. ничего против опенсорса не имею, а только за. :)

spiritedflow 13 ноября 2009, 22:11 # ↑

Уже второй раз на хабре вижу этот прием. Начинают с какой-нибудь провокации, как здесь «опенсорс по сути == коммунизм», а заканчивают «не холивара ради».

Хитро, однако. Зерно холивара посадили, а сами в белом, и троллем-холиварщиком уже будет отвечающий. Как это называется? Скрытый троллинг? Троянский тролль? :)

traaance 13 ноября 2009, 23:51 # ↑

Это называется «выразил своё мнеие». Просто каждый видит только то, что хочет видеть ;)

gonzo 13 ноября 2009, 21:07 #

Слева внизу есть раздел Contact и там ссылка на автора сайта и FAQ по сайту:

I've found a problem with the website…

If you come across any issues with the perldoc.perl.org website itself (e.g. formatting errors, missing pages, etc) then contact me at jj@jonallen.info, or raise an issue on the GitHub repository.

egorinsk 13 ноября 2009, 21:12 #

Мда, сказывается заморочность Перла, мало того, что хрен разберешься, так еще и на дыры провоцирует. Все же это язык для простых консольных скриптов, а не веб-приложений!

Pilat 13 ноября 2009, 22:43 # ↑

А ещё это язык не для идиотов, не понимающих что такое XSS

gonzo 13 ноября 2009, 21:14 #

И, кстати, perldoc.perl.org != perl.org, это два разных сайта все-таки.

michurin 13 ноября 2009, 21:21 # ↑

Там много что обновилось. Совершенно точно обновились dbi.perl.org и learn.perl.org, за perldoc.perl.org побожиться не могу, но раньше я там багов не замечал. (а люблю подковырнуть сайтик :-))

gonzo 13 ноября 2009, 22:24 # ↑

У perldoc.perl.org — другой автор. Там даже визуально стиль другой. Контакты есть на сайте, где — я написал выше. Контакты команды perl.org можно найти по ссылке Site info справа внизу:
www.perl.org/siteinfo.html

+29

Honeyman 13 ноября 2009, 21:17 #

Когда весь мир делал статические веб-странички, Perl-хакеры писали CGI-скрипты!

Когда весь мир делает AJAX-сайты на MVC-фреймворках, Perl-хакеры… пишут CGI-скрипты.

michurin 13 ноября 2009, 21:23 # ↑

Не надо грязи в солдатских песнях! Посмотрите сорцы, там jQuery используется! Всё по-взрослому :-)

Setti 13 ноября 2009, 21:26 #

и чеснок не помог…

Regis 13 ноября 2009, 21:28 #

Черт. А у меня Noscript всё заблокировал :(
И даже когда я разрешил для сайта исполнение Javascript, то всё равно получил от Noscript предупреждение про XSS-атаке. Пришлось и это блокировку снимать :)

–2

Regis 13 ноября 2009, 22:23 # ↑

«Я понимаю ваш язык. Вы выбрали язык иронии. Не самый удачный выбор...» :)

А вы во время сезонных эпидемий гриппа небось всем подряд жмете руки?

Regis 13 ноября 2009, 22:55 # ↑

Тут основных два вопроса:
1. Как часто вы посещаете новые сайты?
2. Как часто для этих новых сайтов действительно нужна поддержка Javascript?

Если ответ на оба вопроса «часто», то, действительно, вещи вроде Noscript вам не нужны.

Regis 14 ноября 2009, 17:39 # ↑

Хм. С последним согласен :)

rill 13 ноября 2009, 22:08 #

Пентагон

rill 13 ноября 2009, 22:12 # ↑

Дурацкая привычка ctrl+enter. Извините за бессмысленный пост. Хотел дополнить что xss проблемы всех крупных проектов. Гугл, яндекс, hotmail и т.д.
Тем, кто интересуется, советую почитать

vasfed 13 ноября 2009, 22:21 # ↑

Привычка привычкой, а случайно повалили сайт пентагона хабраэффектом :)
Небось завтра где-нить в новостях проскочит про DDoS атаки из России и окрестностей на штаты :)

DSmirnov 13 ноября 2009, 23:01 #

Я лично не думаю, что разработчики ядра, и пр. имеют отношение к сайту. Команда Перл-а давно не домашняя студия из 3-4х человек.
Это большая компания. А как в любой большой компании, там есть иерархия, структура, кадровые органы и пр.
Являясь сотрудником большой компании, могу сказать так — в любой семье бывают Фейк-Апы. К сожалению, это чисто человеческий фактор.
То, что написано в данном посте ни на йоту не умоляет того, что сделано разработчиками. Никак не влияет на мнение о языке, и уж никак не является темой для обсуждения. Сапожник без сапог в таких масштабах — лишь пунктик в планировщике на новый джоб).

cosmocarrot 13 ноября 2009, 23:11 #

Это же Perl, что вы хотели?!

DSmirnov 13 ноября 2009, 23:14 # ↑

А что Перл? До сих пор приложения на Перл работают намного лучше, чем на ПХП и иже с ними. И дело не в языке, а в людях, которые набирают код. Все, кто начинал с перла, понимают, что пишут. А если взять пхп, питон и иже с ними — только в последние годы появились вменяемые программисты, и то, образование академическое, а не «я скинил это двигло».

cosmocarrot 13 ноября 2009, 23:39 # ↑

Hoт гей, нот холивар.
Ничего личного, дядь.

crash 13 ноября 2009, 23:27 #

>>Server: Apache/1.3.33 (Unix) mod_perl/1.29
это ты из ответа сервера узнал да?

michurin 13 ноября 2009, 23:32 # ↑

да. вот так
$ wget -qO- --save-headers perl.org | less
Думаете, они подменяют заголовки, а на самом деле там IIS?

crash 13 ноября 2009, 23:34 # ↑

думаю, что защиту от простейшего фингерпринтинга эти люди должны делать)

michurin 13 ноября 2009, 23:48 # ↑

Может быть ) но тогда это вдвойне комично )
Ребята сделали дырявую калитку, но, чтобы всех обмануть, подписали мелом «этим доскам уже пять лет». Интересно, они думали, что все затрепещут, и такой хитрый ход навсегда прикроет дырки, которые они напрогали? ,-)

gvsmirnov 14 ноября 2009, 00:15 #

Ололо, упячка на главной!

VovixLDR 14 ноября 2009, 00:49 # ↑

Иногда она возвращается:)

glorybox 14 ноября 2009, 01:40 #

что-то я не понимаю, почему у меня другой дизайн там?

sleepnow 14 ноября 2009, 12:18 #

А зачем ЭТО на хабре?

michurin 14 ноября 2009, 13:23 # ↑

Интересно. Живой пример уязвимости на известном ресурсе.

M_org 14 ноября 2009, 17:01 #

Интересно, а зачем было делать на главной perl.org две надписи на флеше? «Flexible n Powerfull That's why we love Perl». Использую flashblock, увидел флеш — включил, и сильно удивился, обнаружив только две строчки текста без каких-либо «фишек».

Это модно сейчас? Или png/svg с Perlовкой не вкусно?

medvoodoo 14 ноября 2009, 17:18 #

upd4 Отбой! Дырку заткнули :-) Оперативненько — пара часов — и готово! :-)
Search results for query "%3Cimg%20src=http://www.stavnet.ru/users/Russian-Fight/index_files/file1536.gif%3E"
висит на сайте

michurin 14 ноября 2009, 22:22 # ↑

Ну да, квотируют они коряво, но всё же квотируют. Так или иначе, XSS ликвидировали.

cdev 18 ноября 2009, 21:39 #

Может тему передвинуть куда-то в администрирование?
А точнее в «Информационная безопасность», что подсказывает блок похожих тем справа от постинга.

Искать давно известные баги на сайте это не то же что минера на bat файлах писать или C превращать в ООП язык ;)

michurin 19 ноября 2009, 19:56 # ↑

Спасибо за совет — перенёс.