Привет, хабр! Я решил написать этот топик, так как ранее я искал уязвимости на этом всеми школьниками «любимом» сайте и таки находил, после чего отправлял их в техподдержку, где их активно (или не очень) исправляли. Но с последней найденной уязвимостью считаться не стали и поэтому я, только с чистыми помыслами, решаюсь опубликовать один старый баг и один новый, который багом не посчитали. Если вы дочитали до этого места, то добро пожаловать под хабракат.
Заранее прошу простить, если фото вдруг не будут подгружаться. Не знаю хостинга, который выдержит количество хабрааудитории.
Именно на этом сайте вывешиваются оценки по всем предметам сегодня в Татарстане, и, возможно, в других районах России. Именно этот сайт постоянно не работает в школе. Именно этот сайт проклинает каждый второй учитель. Прошу любить и жаловать —
Сначала довольно старый баг, который я отправил в техподдержку ещё в середине того учебного года, который ныне не актуален, но работал до 1 сентября этого года. Эту часть можете пропустить, она не так интересна, это всего лишь XSS инъекция.
На самом деле всё довольно просто, вы просто переходите по этой ссылке и добавляете к ней простейшую XSS инъекцию —
Не копируйте, а лучше запомните, так как 1 символ заменён для корректного отображения на хабре.
В итоге любой пользователь, знакомый с XSS мог сделать что угодно. Теперь новая уязвимость, которая до сих пор(04.09.13-16:02МСК) работает.
Основана она на довольно банальной подмене цифр, изначальный адрес можно видеть на скрине, но я сократил до минимально приемлимого, чтобы баг работал.
Как вы поняли, нам нужно изменять не всю ссылку, а лишь цифры после %2F, к примеру
изменять на
таким образом получая всё новые и новые фото (я и не знал, что так много пухлячков любят загружать свои фото в анкеты на edu.tatar).
Всем спасибо за внимание.
Заранее прошу простить, если фото вдруг не будут подгружаться. Не знаю хостинга, который выдержит количество хабрааудитории.
Именно на этом сайте вывешиваются оценки по всем предметам сегодня в Татарстане, и, возможно, в других районах России. Именно этот сайт постоянно не работает в школе. Именно этот сайт проклинает каждый второй учитель. Прошу любить и жаловать —
Сначала довольно старый баг, который я отправил в техподдержку ещё в середине того учебного года, который ныне не актуален, но работал до 1 сентября этого года. Эту часть можете пропустить, она не так интересна, это всего лишь XSS инъекция.
На самом деле всё довольно просто, вы просто переходите по этой ссылке и добавляете к ней простейшую XSS инъекцию —
"><sсript>alert()</sсript>
Не копируйте, а лучше запомните, так как 1 символ заменён для корректного отображения на хабре.
В итоге любой пользователь, знакомый с XSS мог сделать что угодно. Теперь новая уязвимость, которая до сих пор(04.09.13-16:02МСК) работает.
Основана она на довольно банальной подмене цифр, изначальный адрес можно видеть на скрине, но я сократил до минимально приемлимого, чтобы баг работал.
Как вы поняли, нам нужно изменять не всю ссылку, а лишь цифры после %2F, к примеру
/show/?img_file=%2Fupload%2Fanketas%2F100005.jpgизменять на
/show/?img_file=%2Fupload%2Fanketas%2F100004.jpgтаким образом получая всё новые и новые фото (я и не знал, что так много пухлячков любят загружать свои фото в анкеты на edu.tatar).
Всем спасибо за внимание.