Pull to refresh

Из первых рук про 9c951267

Lumber room
Ламер — юзер, регулярно наступающий на грабли, но по-прежнему уверенный, что граблей не существует.
Какая-то энциклопедия


Прошел день с того времени, как я сделал попытку убедить людей, что в сети нужно очень тщательно выбирать, кому доверять свои данные (пафосно звучит, правда?)

О том, что же было и что из этого получилось, дальше.


Сайт bestpersons был выбран, конечно, не случайно, но он просто идеален в качестве наглядного пособия по тому, как не нужно делать безопасные сайты. О начале издевательств над ним можно почитать здесь: Сервис хранения паролей и раздачи их всем желающим.

Из-за туманных комментариев владельцев сайта, не утрудивших себя описанием того, что случилось с их сайтом и даже не уведомивших своих пользователей о том, что им нужно сделать (сменить все пароли, которые совпадали с паролем на bestpersons, удалить свой аккаунт ;) ) даже крупные интернет-издания не смогли понять, что же произошло. Ни rian.ru, ни Roem.ru, ни Securitylab не дали реальной версии событий.

Итак, по порядку:
1. Я нахожу то, что описано в первом топике и пробую это использовать.
2. Поскольку я не особо скрываюсь, некоторые пользователи, пароль которых я получил, заметили, что у них в настройках сменился email и сообщили об этом программистам сайта.
3. Сайт был отключен, когда я успел получить всего около 400 паролей.
4. Я написал пост на хабр, поскольку считал, что раз владельцы сайта узнали о уязвимостях, они их закроют.
5. Сайт включили.
6. Я увидел, что уязвимости никто не правил и написал об этом комментарий.
7. Сайт выключили, меня попросили сказать, где же именно ошибки на сайте о_О
8. Я сказал: в таких-то полях у вас не фильтруется html, кроме того у вас совершенно не фильтруются GET-запросы и через них можно делать что угодно. Поблагодарили, сказали что исправят.
9. Сайт включили, написали обнадеживающие новости — юзерам ничего не угрожает О_о. //То, что у меня лежат 400 паролей, которые до сих пор подходят к почтовым ящикам и аккаунтам пользователей (проверял ради любопытства) им, пользователям, знать не нужно.
10. Вечером перед сном решил еще раз зайти на сайт — посмотреть как там с уязвимостями. Обнаружил, что ничего в лучшую сторону не изменилось — поправили XSS в некоторых (не всех) полях, но через GET-запросы все еще можно делать все что угодно. В частности, удалять сообщения других пользователей и постить в их блоги на других сайтах.
11. Написал простенький скриптик, постящий во все блоги, пароли к которым были оставлены пользователями на bestpersons. Запустил его.
12. Посреди работы сервера bestpersons повисли (у них подвисали некоторые скрипты). Их перезагрузили и скриптик спокойно продолжил работу о_О
13. По всему рунету появились сообщения, содержание которых вы знаете. К настоящему времени большая часть из них уже удалена (уж точно на всех блогах, хозяева которых о них еще помнят).
14. Владельцы bestpersons добавили в новость о уязвимости еще одну строчку «От лица наших пользователей были отправлены странные сообщения, ничего страшного».

Ребята, с таким отношением к данным пользователей рунет никогда не станет похож на западный интернет :)

Тут многие высказывали тезис такого содержания: «Все ошибаются. На ошибках учатся. Теперь сайт еще надежнее».

Ошибка — это когда злоумышленник может изменить имя другого пользователя, украсть куки или совершить не слишком важное действие на сайте от лица дугого пользователя.

То, что происходит на bestpersons — это не ошибка. Это полное непонимание основ безопасности сайтов господами ведущими программистами высоконагруженных и распределенных систем (вроде ничего не перепутал?)

Так ведь нельзя :)

Надеюсь, сайты, так относящиеся к своим пользователям, будут в дальнейшем публично пороты и писать код «как bestpersons» станет для веб-проектов, претендующих на серьезность, стыдно.

Спасибо за внимание.

з.ы. не факт, что я первый нашел как получить пароли пользователей того сайта. А поскольку сделать это можно было незаметно для самого пользователя (и уж конечно для администрации сайта), стоит передать своим знакомым, у которых есть аккаунт на bestpersons, что их пароли могут быть уже не их. И если ими еще никто не воспользовался, это не означает, что не воспользуется.
Tags:
Hubs:
Total votes 12: ↑10 and ↓2 +8
Views 400
Comments Comments 298