2010
Projekt Sec sa zrodil pred necelým mesiacom, za ten čas team H4f získal množstvo cenných skúseností a dve ponuky na platené penetračné testy pre existujúcich klientov oslovených spoločností. Prijatých bolo zhruba 50 zraniteľností a pod hlavičkou projetku bol publikovaný 0 day exploit, ktorý sa následne (po oslovení developera) autorom rozšíril na všetky svetové databázy exploitov a spôsobil slušnú neplechu. Týmto dňom nám nám začalo byť jasné, že tohto koňa tak ľahko neskrotíme. Zatiaľ čo Inj3ct0r Exploit DataBase (aktuálne offline) nemá problém so zverejnením detailných informácií akým spôsobom napádal servery Facebook-u, rovnako v našich podmienkach nie je veľký problém nájsť web s presným popisom a komentárom o útokoch na web stránky politikov, táto cesta je z nášho pohľadu neschodná. Plánom bolo bezplatne informovať o zraniteľnostiach. Reálne skúsenosti ale ukázali, že sme si to predstavovali príliš jednoducho. V prvom rade, ak niekoho informujete o zraniteľnosti, informujete ho zároveň o chybe, ktorú vykonal, resp. chybe, ktorá sa často dotýka produktu spoločnosti. Pri CMS v cene 20 000 Sk, ktoré nezvládne ani bezduché SQLi, ide o epický fail.
Po tom čo sa v reportoch začali objavovať aj inštitúcie a informáciách, že známe a pred nedávnom silno medializované chyby sú platné aj naďalej, sme si povedali, že Wwuln časť je príliš horúci zemiak. Po informáciách, že niektorí jednotlivci oslovujú spoločnosti rovnakým spôsobom – teda prostredníctvom e-mailu spolu s vyhrážkou a následnou ponukou na platený pentest, resp. výmenu informácie za finančnú protislužbu nám už bolo jasné, že Wwuln časť sekcie nebude fungovať.
Čo sa týka právnej stránky, toto je myslím dostatočne ošetrené, ohľadom etickej stránky je tu isté pochybenie. Pravdou je, že informácie z náhodného testovania sú získavané bez povolenia prevádzkovateľa. Na jednej strane týmto ušetríte administrátorovi, resp. developerovi náklady na platený pentest a rovnako zabezpečíte jeho systém, na druhej strane, ak ho informujete, konáte neeticky… Fail 
Podľa vyjadrenia je prakticky nemožné prevádzať penetračné testy bez povolenia zákazníka spôsobom aký bol nastavený. Nevychádza poradie, zraniteľnosť je objavená a až potom je oslovený administrátor. To všetko pod hrozbou trestného stíhania len výmenou za kredit – teda info, že chyba bola odstránená na základe upozornenia ľudí stojacich za projektom H4f a spracúvavajú došlé reporty. Žiadne vydieranie, žiadna finančná protislužba.
Výsledok za 30 dní:
| Chyba | Závažnosť | Popis | Počet |
| CMS SQLi | 5/5 | ‘ or 0=0 # | 44 |
| CMS SQLi | 5/5 | ‘ or 0=0 # | 3 |
| CMS SQLi | 5/5 | ‘ or 0=0 # | 13 |
| CMS SQLi | 5/5 | ‘ or 0=0 # | 1 |
| SQL Injection Exploit | 5/5 | Zen Cart <= 1.2.6d password_forgotten.php | 6 |
| Uebimiau Webmail backdoor | 3/5 | Remote File / Overwrite Vulnerability | 1 |
| Manipulácia skrytým poľom | 2/5 | možnosť úpravy cien produktov |
|
Prevádzkujete e-shop založený na Open Source? Skúsili ste si za posledných 6 mesiacov vyhľadať verziu Vašej používanej aplikácie na databázach verejných exploitov? (Zen Cart, Uebimaiau Webmail) Zaplatili ste si za CMS? Okrem toho, že sa nemusíte zaujímať o technickú stránku a Vaša interakcia pri úprave webu je vďaka systému minimálna rovnako ako správa webovej stránky Vašej spoločnosti jednoduchá, myslel programátor aj na bezpečnosť údajov? Zraniteľnoti CMS sa zdajú byť veľmi kuriózne, zatiaľ novšie verzie sa zdajú byť relatívne bezpečné, t.j. minimálne obsahujú kontrolu na vstupe, staršie prvotné verzie tieto základné ochrany nemajú. Ako sme ale spomínali úvodom, ak sa základná chyba prejavuje na všetkých verziách CMS je situácia veľmi nepríjemná.
Uvedená tabuľka nie je ani zďaleka úplná a obsahuje iba info z CZ/SVK. Chýbajú perly ako napríklad reportované & potvrdené SQLi v ICQ.com, admin panel bez hesla spoločnosti, ktorá… Stupeň závažnosti v tabuľke bol nastavený doslova „od oka“. 1/1 je SQLi umožňujúce prístup k šifrovaným heslám, dátam… 5/5 znamená úplný prístup s právom administrátora. Urobte si teda vlastný názor na „bezpečnosť“ webových aplikácií našich malebných krajín v srdci Európy. Čo dodať, kapitalizmus víťazí… Alibisticky si dovolím tvrdiť, že server posunul pomyselnú laťku čo sa týka lokálnych (SVK/CZ) serverov zameraných na IT bezpečnosť. Vďaka patrí všetkým, ktorí sa na tejto jazde zúčastnili! Tam kde Wwuln končí, SW po doštudovaní antiladiacich procedúr pokračuje… V blízkej dobe teda môžeme očakávať sériu „zásielok“ pre Exploit-DB. 80% zraniteľností ostáva naďalej out there, safety first
Súvisiace články: Cheese Holes – SQLi technika a prevencia, Fimap, Choose the SQLi Hat!, And the „Sec“ was born!, Fitness YouTube Fun, SQLi Cheese – Rozuzlenie, SQLi Cheese – Rozuzlenie
Žádný komentář.
Přidat komentář