Pull to refresh

Уязвимость сайта qip.ru

Information Security *
Ну, думаю прошло достаточное количество времени, и можно об этом написать.
И дабы избежать случившегося после опубликования статьи о Рамблере, и не уйти в бан, я выждал, отписал администрации, уязвимость закрыли. Так что, пишу я с совершенно чистой душой.

Новая дырявая плюшка



Значит, сделали ребята из qip.ru у себя на сайте выбор города, в котором ты живешь. Дату и время опытов, я оставлю при себе, иначе будет не хорошо, но скажу что не так давно.
новый сервис
После выбора города, ты получаешь сведения о погоде в своем городе, то есть, достаточно удобная плюшечка. Ну и как все, я решил воспользоваться, и воспользовался. И выяснилось, что сервис очень даже интересный, для некоторых.

Осмотр


Потыкав эту менюшку мышкой, был выбран город, и отслежены заголовки отправляемые на сервер. POST данные, выглядят примерно так:

code=RU_14_41145_24959

Немного осмотревшись, пробуем передать скрипту различного рода параметры, изменяя их как можем. И вуаля, в последнем параметре нас ждет сюрприз.Передаем что-то вроде:

code=RU_14_41145_24959abrabr!1

и видим красоту:
image
Опа, lfi, локальный файловый инклуд. Просто прелестно! Ну вот и все, опытным путем злоумышленник подбирает кол-во подъемов относительно корневой директории, и получает возможность просматривать различные системные файлы, в том числе, файлы конфигурации сервера. А если заинклдуить логи апача, предварительно снабдив их «ядовитым кодом» в поле User-Agent, то это вообще будет полноценный шелл. Ну мы то с вам добрые ребята, так что мы этим заниматься не стали.

Good-boys


Отписали администрации, переговорили с ихним ведущим программистом по аське, и нашли взаимопонимание. Благо программист у них парень хороший, и поговорили мы хорошо. Я объяснил что где, он закрыл. Правда закрыл не с первого раза, сначала они сделали замену "/" в переменной, то есть, была возможность юзать "\", и вот только через недельку после первого фэила, они залатали ее совсем. Вот и все, а мораль сего поста такова: фильтруй post, не используй Explode, ибо затеряешься среди массивов, и не отфильтруешь нужный, как это случилось с qip.ru.
Tags:
Hubs:
Total votes 199: ↑178 and ↓21 +157
Views 1.7K
Comments Comments 44