Aplikacje internetowe

Bełdziowe spojrzenie na aplikacje internetowe

Błędy na DobraOpcja.pl

. grzech:

  • brak filtracji danych

konsekwencja:

  • podatność na XSS, SQL Injection, CSRF
  • możliwość usunięcia konta innego użytkownika

Serwis DobraOpcja.pl jest polskim klonem MySpace’a. Jak na serwis web dwa zerowy przystało znajdziemy tam pastelowe kolory, zaokrąglone rogi, oraz jako że jest to polskie web 2.0 – błędy. Błędy, które możemy znaleźć to XSS (wstrzyknięcie własnego kodu w kod strony), SQL Injection (modyfikacja zapytań SQL) oraz CSRF (możliwość wykonania czynności na stronie z uprawnieniami zalogowanego użytkownika.)

Najwięcej błędów znajduje się w panelu użytkownika. Wprowadzając odpowiedni kod w polu imie i nazwisko, notkach bloga lub wiadomościach pocztowych możemy nawet skasować konto użytkownika, który będzie przeglądał nasze konto / prace.

Interesującym elementem strony jest listowanie błędów SQL podczas ich wystąpienia. Daje to atakującemu wgląd w strukturę bazy danych umożliwiając mu wyciągnięcie poszukiwanych danych.

Poprawki

Wszystkie błędy zostały poprawione.


Tagi: , , ,
Kategoria: Bezpieczeństwo, BugTraq


9 komentarzy

  1. Ktos napisał(a):

    > jako że jest to polskie web 2.0 – błędy
    No proszę polskiego Web2.0 nie obrażać! ;-)

    O i właśnie poruszyłeś inną ciekawą kwestię – czy błędy SQL powinny być pokazywane przed użytkownikiem? Jeżeli tak, to niedobry haker będzie miał jakiś wgląd na to, jak można przeprowadzić atak. Z drugiej strony niektórzy "white hats" mogli by poinformować ludzi od serwisu, że w sytuacji takiej to a takiej występuje błąd SQL.
    Jeżeli błędy SQL nie były by pokazywane to wymagane jest prowadzenie logów błędów, oraz ich regularne przeglądanie – jednak czy udaje się zalogować wszystkie powody z powodu których wystąpił jakiś błąd SQL?

    PS. Michał, jakiś ciasteczek do zapisywania loginu/emaila oraz tagów XHTML/Texttile tutaj nie można zrobić w komentarzach?

  2. Michał `Bełdzio` Ławicki napisał(a):

    Wg mnie nie powinno się pokazywać. Wszystkie, a na pewno zdecydowana większość błędów powinna zostać wyeliminowana na etapie testów.

    Jeśli chodzi o logi to mam w planacha napisać notkę o tym, wydaje mi sie, że rozwiąże ona Twój problem z przeglądaniem logów :) i tak możne wyłapać wszystkie powody występienia błędu SQL :)

    ad ps. Pewnie :) ciastka dojdą za chwilę, a jeśli chodzi o HTML to napisz jakie wg. Ciebie powinny być dostępne.

  3. Michał `Bełdzio` Ławicki napisał(a):

    A co do obrażania polskiego Web 2.0 to zobacz sobie ile serwisów Web 2.0 jest u mnie w bugtraq”u :)

  4. Marcin "Ktos" napisał(a):

    Wszystkie… nie da sie wyeliminować wszystkich błędów, takie jest pierwsze prawo programistyczne ;-)

    A co do PS – myślę, że "standardowy" zestaw jak z WordPressa starcza:

    <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

    Może bez pogrubienia i kursywy, same semantyczne.

  5. Marcin "Ktos" napisał(a):

    Ups, przepraszam, przyzwyczajenie z blogów opartych o WP – tam trzeba podawać & coby nie zostało za znacznik uznane :-)

  6. Michał `Bełdzio` Ławicki napisał(a):

    Jasne, że się wszystkich nie da :) Da się te najczęsciej występujące, do reszty są logi :)

  7. towar napisał(a):

    "Wszystkie błędy zostały poprawione."
    \\co do tego nie był bym taki pewnien…
    \\jest jeszcze kilka bugów co prawda nie groźnych
    \\ale programiści się nie popisali.
    \\brak filtracji w wyszukiwarce?
    \\screen:
    \\http://img505.imageshack.us/img505/2830/33583117yj2.jpg

  8. Michał `Bełdzio` Ławicki napisał(a):

    Pisząc, że wszystkie błędy zostały poprawione miałem na myśli te, o których wspomniałem w notce.
    \\
    \\Co tu dużo pisać polskie Web 2.0 jest dziurawe jak ser szwajcarski ;-)

  9. towar napisał(a):

    dokładnie tak.
    \\zagraniczne strony opierające się na trendzie Web 2.0
    \\są najpierw dokładnie przetestowane.
    \\w polsce opiera się to na zasadzie im szybciej tym lepiej.
    \\kolejny screen:
    \\http://img501.imageshack.us/img501/7315/20618893mn2.jpg
    \\
    \\chiałbym zostać takim beta testerem.
    \\płatnym oczywiście ;)

Dodaj komentarz