Полностью никто никогда не защищён. Уязвимости на eBayToday

    Никто никогда не может на все 100% гарантировать, что в его сервисе нету дыр или каких-либо лазеек. А если и могут — не нужно верить этим людям, они не компетентны в таких вопросах.
    Даже на таких крупных проектах, как Яндекс.Деньги и то бывали дыры. Так что чего уж говорить о небольшом сервисе для покупок за границей — eBayToday.ru.

    Дело это было вечером, делать, как говорится, мне было нечего… и решил я тогда чисто ради интереса посмотреть — а есть ли дыры на сайте, через который я сделал столько покупок? Может быть в один прекрасный момент я закажу себе новенький iPad 3, а через день зайду и узнаю, что аккаунт у меня угнали, адрес поменяли, да и вообще iPad уже давно в чужих руках…

    Сразу же скажу, что все дыры уже залатаны. Поддержка ответила мне уже через сутки и сказала, что «наши специалисты всё исправили, вот вам приятный бонус в виде $10 за найденные уязвимости».

    SQL-inj

    Начну с самого сладкого, с sqli. Это инъекция на неприметной странице http://ebaytoday.ru/user/addressbook?archive=. С помощью её можно было вывалить всю базу, за исключением одного: там не было ни юзеров, ни заказов, ни платёжных реквизитов :) Админы на столько молодцы, что походу вынесли всю эту архиважную информацию в отдельную базу, к которой получить доступ мне не удалось :)

    XSS

    Их я проверял банальной строкой '"><script>alert('a');</script> — и нашёл кучу всяких XSS, с помощью которых можно понатырить кукисы хоть всех пользователей сервиса. Это меня ужаснуло и как раз таки ради этого я и решил продолжить искать дыры, чтобы поскорее уведомить администрацию.

    Самая страшная дыра, которую я нашёл — это дыра в тикетах: http://ebaytoday.ru/tickets поле «тема» не фильтруется, поле «сообщение» не фильтруется и получается что? Правильно, получается, что можно стырить куки хоть самих админов и посмотреть на их сервис изнутри. Совсем наглеть я не стал и решил ничего не смотреть (еле сдержал любопытство).

    Дальше список с обычными XSS, которые интересны, но не так, как предыдущие :)
    http://ebaytoday.ru/catalog/search?total_query=phone&minprice=&maxprice=
    Параметры minprice и maxprice не фильтруются.

    http://ebaytoday.ru/catalog/search?query=phone&category=
    Параметр category не фильтруется, активная XSS.

    http://ebaytoday.ru/forgot/?email=
    Параметр email не фильтруется.

    http://ebaytoday.ru/peoplesay?located=0&with_photo=
    Параметр with_photo не фильтруется, активная XSS

    Залатали дырки ещё 24 числа, поэтому, надеюсь, спустя столько времени они успели самостоятельно найти что ещё я пропустил.
    Если же вы решите поискать дыры — пожалуйста, не используйте их. Ведь сервисом пользуются такие же обычные люди, как и мы с вами, лучше уведомите администрацию и не крадите чужие куки, потом же сами можете попасть в такую передрягу :(
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 76

      +15
      Решето…
        +6
        Как же надоел этот комментарий. Автор молодец.
          +4
          А вы уверены что вы пишите абсолютно защищенный код? Ну-ну )
          +53
          >>вот вам приятный бонус в виде $10 за найденные уязвимости
          Даааа, вот это я понимаю бонус, гугл курит в сторонке.
            +6
            Некоторые крупные компании даже спасибо за такое не говорят или чего ещё хуже — вообще не фиксят баги… А бонус этот — просто небольшая благодарность за то, что я не стал их юзать, а сообщил им.
              +15
              Со стороны ebaytoday выглядит как-то несолидно. Конечно бывает вообще ничего не дают, но любая адекватная компания с приличным оборотом должна понимать риски для ее бизнеса, связанные с безопасностью, поэтому вознаграждения должны быть соответствующими.
                +3
                Я вообще не ожидал, что они что-то такое сделают :) Поэтому не страшно, что так мало.
                  +14
                  Зная ebaytoday, пожалуй, соглашусь.
                    +13
                    Это меньше, чем комиссия, которую они берут за ОДНУ позицию в заказе.
                      +2
                      Нда. Не благодарные(
                +4
                Интересно, сколько бы они потеряли, если бы какие-нибудь злоумышленники использовали эти уязвимости в корыстных целях.
                  +1
                  Они бы мало что потеряли, а вот бедные клиенты намучились бы…
                    0
                    Ну почему же, они бы потеряли измученных клиентов. Думаете, это мало?
                      0
                      Я думаю, что это плохо. Я бы такого не пожелал никому.
                        0
                        А я и не говорил, что это хорошо. Просто возразил, что потери у сервиса были бы довольно значительные.
                      +5
                      Многие их клиенты мучаются и так…
                    0
                    С одной стороны, согласен, EbayToday мог бы быть щедрее. Но, с другой стороны, если автор им пользуется, то в некотором роде старался для себя.
                    +3
                    Мне вот интересно, это мне только кажется, что ссылка реферальная?
                      +1
                      Так и есть.
                        +20
                        Ну так $10 всего дали :)
                        +3
                        Да. И я считаю, что в этом ничего плохого нет. Кому надо, тот не будет регистрироваться, кто захочет — это для него ничего не изменит, а мне небольшой плюс будет за старания (глядишь и ipad 3 закажу когда-нибудь :) ).
                          0
                          К вам никаких претензий, просто думал, что у меня мания преследования. Бывает :)
                            0
                            Просто обычно так делают при черном пиаре, хотя конечно, в данном случае даже подозрение неуместно.
                              0
                              Ничего страшного нет, но писать, что ссылка реферальная — просто хороший тон. Ненавязчиво так, в скобках.
                                +3
                                Это если ссылка, как ссылка. Было бы нормально.

                                В топике же ссылка скрытая через <img/>, которая заодно создает паразитную нагрузку.
                                  0
                                  Так там же есть и обычная реферальная ссылка
                                    0
                                    Которая открывается при загрузке страницы.
                                      +1
                                      Извините, если кого-то это задело…
                                      Я убрал все рефссылки из данного топика. Отношение других людей ко мне дороже, чем какой-то там реферал.
                                        0
                                        Спасибо.
                                    0
                                    Совсем наглеть я не стал и решил ничего не смотреть (еле сдержал любопытство).


                                    Совсем не верится. Особенно глядя на это:



                                    Автор, вы считаете здесь всех идиотами? Странно что еще с 20-ток реф. ссылок в виде картинки не попытались вставить. Скрыли бы свое свинство через style='width:1px;height:1px' )
                                      0
                                      Хотел вставить сам код, а вставилась картинка еще раз.
                                      <img src=«goo.gl/zWcMu»>
                                +2
                                На многих сервисах-сокращалках добавление в конце адреса знака + вместо редиректа отображает информацию об этой ссылке, в том числе адрес назначения: goo.gl/pRGHT+
                                  0
                                  За это спасибо огромное, надоело в net-internals искать
                                    0
                                    Хм… А я всегда думал, что с + инфа доступна только автору :)
                                    0
                                    Извините, если кого-то это задело…
                                    Я убрал все рефссылки из данного топика. Отношение других людей ко мне дороже, чем какой-то там реферал.
                                      0
                                      Конечно. Особенно сейчас — когда уже проставлена тысяча рефссылок :)
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      +9
                                      Простите, зачем было вставлять вот это:
                                        +7
                                        Кстати, ссылка ведёт на страницу «пресса о нас», а не на картинку. Там же выдаётся реферальная кука. Топикстартер, это свинство.
                                          0
                                          Дык поэтому и спрашиваю, радует статистика goo.gl/zWcMu+
                                          надеюсь автор накопит на скидку к iPad3
                                            0
                                            Извините, если кого-то это задело…
                                            Я убрал все рефссылки из данного топика. Отношение других людей ко мне дороже, чем какой-то там реферал.
                                          +2
                                          Да, скуповаты конечно товарищи с eBayToday. У меня была похожая ситуация, тоже на одном достаточно крупном сервисе, правда китайском. Отослал им кучу скриншотов информации, которую я ни как не должен был видеть, при чем баги были достаточно серьезными (можно было прочитать переписку со службой поддержки, просмотреть заказы, адреса доставки, изменить их). Китайцы благодарили, но баги оставались на месте. В конце концов я провел доскональный анализ и выслал им подробнейший багрепорт, как закрыть данный баг.
                                          В знак благодарности получил купон на 80 баксов, что в объем-то не плохо, хотя надеялся на большее. Правда после прочтения топика понимаю, что не так у плохо меня вознаградили. :)
                                          В данном случае лично меня деньги совершенно не интересуют, багрепорты шлю из чуства солидарности, в надежде, что когда-то такой репорт придет и моему ресурсу вместо слитой базы. Ни кто не застрахован от такого.
                                          Правда когда после бесчисленных багрепортов все продолжает оставаться на своих местах, возникает желание сделать какую-то пакость, дабы впредь были более внимательными. Хотя, наверное, в данной ситуации лучше попытаться достучаться до руководства ресурса с просьбой образумить своих балбесов. Ну или поднять им з/п что ли. :) Разные причины беспечности бывают, часто бывает по принципу как платят, так и работаем.
                                            +4
                                              +7
                                              А вот это не смешно:
                                              ebaytoday.ru/.htaccess
                                                +3
                                                Ebay Partner Network
                                                ebaytoday.ru/epndomain_bid.txt
                                                Киньте пожалуйста кто то им.
                                                +4
                                                Ну и неграмотные (тут было другое слово) их админы. В дефолтном же конфиге апача стоит Deny для файлов, начинающихся с .ht, нет, они это отключили.

                                                Да и программисты не лучше, написали 20 реврайтов в htaccess, вот не лень-то было. И потом такие PHP-разработчики идут на Хабр ругать Яву, паттерны проектирования, ООП, MVC и прочие достойные вещи.
                                                  +1
                                                  >написали 20 реврайтов в htaccess, вот не лень-то было
                                                  Ну так как там
                                                  Server nginx/1.0.3
                                                  то видимо это старый код про который забыли
                                              0
                                              Чем больше полей ввода, тем больше возможности ошибится, и наплодить XSS. ©Кэп
                                                0
                                                Точнее лень проводить проверки ))) банально лень разрабов
                                                  +1
                                                  Правильно спроектированная ORM на порядок упростит такие проверки. Где от разраба требуется только выставить флаги для полей, что и как валидировать. Ну и не работать напрямую с пост и гет параметрами а использовать класс обертку, внутри которого все проходит через стриппалку xss.
                                                    0
                                                    Опять же: столько тело движений)))
                                                      +1
                                                      Эмм… это надо сделать «ровно один раз», а если использовать готовый фреймворк например yii, cимфони, рельсы или джангу — то все это идет из коробки.
                                                      Это все равно что:
                                                      -Ловить руками рыбу трудно и долго, а еще можно руки о чешую порезать
                                                      -Возьми бамбуковую палку, длинную тонкую леску, сооруди поплавок, накопай червей и лови рыбу
                                                      -Опять же: столько телодвижений)))
                                                +5
                                                Я догадываюсь, почему они заплатили лишь 10$ — они даже не поняли чем им всё это грозит
                                                  +3
                                                  Да уж лучше просто выразить благодарность, чем позориться такой суммой…
                                                  Хотя если предположить что такого рода суммы они платят своим разрабам все становится на свои места, и дырки и косолапость и разгневанные клиенты
                                                  П.С. странно только как они уложились в сутки с такими «руками»
                                                    +1
                                                    Менеджер и разработчик.
                                                    — Ну как? Ты пофиксил эту уязвимость?
                                                    — Да там делов-то на 10 минут. Ерунда.
                                                    +1
                                                      0
                                                      ссылка не там закрылась :(
                                                        +2
                                                        Зато все прочитали :)
                                                        +1
                                                        ваша реклама тут совсем не к месту. пост не об этом.
                                                          –1
                                                          пост о крупной компании, которая делает деньги…
                                                            –1
                                                            1. во-первых, если пост о крупной компании, зачем вы дали ссылку на сайт своей компании? она ни разу не крупная :D и денег не делает. и не будет делать. так что это дешёвый пиар. видимо у вас даже нет бюджета на маркетинг, раз вы рекламируете себя в комментариях к статьям о проблемах конкурентов.

                                                            2. во-первых, здесь не обсуждается какой посредник лучше, и нужны ли эти посредники вообще. так что ваша реклама, я повторюсь, совсем не к месту.

                                                            3. если хотите, можете зайти на этот ваш сайт, найти там ошибки и уязвимости (вы не поверите, сколько их там) и написать об этом здесь. Хотя вы вряд ли в этом что-то понимаете, иначе не писали бы всякую чушь тут в комментариях.

                                                            4. для рекламы своих компаний существует раздел «я пиарюсь»
                                                              0
                                                              это не моя компания, все последующее теряет смысл…
                                                              спорить на пустом месте я тоже не вижу смысла, это хабр а не форум ололо
                                                        –2
                                                        Воронеж такой Воронеж
                                                          0
                                                          Почему Воронеж?
                                                            0
                                                            Офис их, находится у нас) Причём не плохой такой офис, я бы даже сказал не обычный.
                                                              0
                                                              Я только о складах в Штатах слышал :( Вот бы узнать какой у них офис! Я люблю эту тему, интереснее всего смотреть какие они у гугла :)
                                                                +1
                                                                Офис… Мммм. Как бы это сказать. Он находится в котедже. Нифиговом таком котедже. Вроде 2 этажа у них. Очень сильная система охраны, камеры кругом, пропусковая система. Не знающий человек, даже и не поймёт, что в этом здании находится офис ебей-тодэй. На удивление в штате у них очень много людей. Более сказать не могу.
                                                                  0
                                                                  У них и сама компания в штатах зарегистрирована, сам недавно заметил :) А там типа филиал что ли.
                                                                    +2
                                                                    Вокруг люди с автоматами, вышки стоят со снайперами )
                                                                      +1
                                                                      Вход в офис только по сканеру сетчатки глаза. В линзах не удобно ходить.

                                                                      Все в масках работают, что бы не видели никого. Сотрудники от семьи скрывают где работают.
                                                                        0
                                                                        Ну, по сути в этом что-то есть) И про снайперов) И про маски)
                                                                          +1
                                                                          Под это описание в Воронеже только тюрьма подходит…
                                                                            0
                                                                            Ну так оно так и есть)
                                                              +1
                                                              Помнится про дыру в тикетах я им писал уже. Они даже вроде как исправляли. И даже сумма не поменялась — тоже 10 долларов дали :)
                                                                0
                                                                А я вот написал Мавроди о пассивной XSS на его сайте, он даже не ответил.
                                                                И не исправил наверное (
                                                                Не то что там что-то заплатить ))

                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                Самое читаемое