In general nu caut nod in papura nimanui… Cu atat mai putin unei fundatii care a facut si face destule lucruri buna intr-o rromanica plina de …….. Completati voi punctele cu ce va trece prin cap!
Totusi, va trebui sa critic putin modul in care a fost construit site-ul Fundatiei Dinu Patriciu, manscand informatiile sensibile, astfel incat sa nu oferim mai mult decat trebuie vitejilor cu anumite cunostinte IT…
Ca prezentare, site-ul e clar si functional. Problemele rezida insa in modul cum au fost protejati anumiti parametri, si, mai ales in update-urile atat de necesare unui server web…
Haideti sa luam problemele pe rand:
1.Utilizare SSL2… Intre timp a aparut SSL3 sau chiar TLS, mult mai puternice si versatile… Consecinte?
SSL2_CK_RC4_128_EXPORT40_WITH_MD5 – Low strength
SSL2_CK_RC2_128_CBC_EXPORT40_WITH_MD5 – Low strength
SSL2_CK_DES_64_CBC_WITH_MD5 – Low strength
!Prietenii stiu de ce!
2.MySQL Enterprise Server v.5.0.52… Consecinte?
Folosind RENAME TABLE intr-un tabel cu optiunile explicite DATA DIRECTORY si INDEX DIRECTORY se poate suprascrie informatia din tabel.
ALTER VIEW retine valuarea originala a DEFINER , chiar daca este modificata de alt utilizator, ceea ce inseamna acces catre datele de output.
Cand se foloseste un tabel FEDERATED , serverul local crapa atunci cand serverul remote intoarce un rezultat cu mai putine coloane decat trebuie.
3.DNS zone transfer….adica serverul de DNS accepta transferul de zone… asta chiar mi-a placut!!! Individual, datele din inregistrarile DNS nu sunt foarte importante, dar… avand toate intrarile DNS e mult mai usor pentru un hacker sa vada exact ce domenii sunt pe server, si mai ales ce are de atacat…
4. XSS… ca de obicei, si in URL si in scriptul de cautare si cel de contact:
5. MySQL Community Server Symlink Attack Vulnerability… nu dau amanunte, prietenii stiu de ce… Presupun ca vreunul din cei ce administreaza pagina si-a lasat o portita de scapare in caz ca nu-l plateste Don Patriciu…
Sper sa le rezolve cat mai repede…..
P.S. Odata cu publicarea articolului i-am anuntat si pe cei din Fundatie, care presupun ca au trimis mail-ul mai departe catre persoana responsabila de pagina web … De aici incepe distractia, intrucat individul, dovedind o reala lipsa de cojones si un caracter cat se poate de josnic, se foloseste de numele si adresa de mail a lui Valentin Ivascu, un programator php pe care il stiu dupa reputatie, si imi lasa doua comentarii amuzante… le puteti citi aici…
Am incercat sa-i explic individului ca, de obicei, pentru asa ceva se multumeste… Din pacate cred ca nu stie ce e aia…
Ca exemplu ii pot da pe cei de la trilulilu.ro, pe care i-am anuntat ca au cateva probleme cu SQL injection, si care au stiut sa multumeasca pentru informatii… Acesta este de altfel si motivul pentru care nu am publicat nimic despre vulnerabilitatile de pe trilulilu.ro…
Un salut trilulitilor, si un “rusinica” d-lui programator/secretarei/celor de la fundatie/etc… !
iulie 24, 2009 at 1:42 pm
Fara suparare, de obicei cei care realizeaza site-uri si cei care se ocupa de hosting sunt de multe ori 2 chestii diferite. In rare situatii firmele de web design se ocupa si de administrarea directa a servelor … de obicei apeleaza la firme third party: gen rohost.com, hostgator.com, etc. sau clientii au deja hostingul lor.
Problemele semnalate de tine in afara de cea xss se refera la server si mai putin la realizarea efectiva a site-ului.
Titlu postului tau e cam bombastic si probabil de asta a starnit agitatie. Sa le luam pe rand.
1. XSS-ul poate fi o problema in cazul in care este salvat in baza de date si poate sa culeaga informatii sensibile de la utilizatori. Acesta aparea intr-o cautare (din ce se vede in screenshot) care este vazuta doar de cel care incearca atacul…deci nu afecteaza pe nimeni.
Site-uri gen emag au avut probleme grave cu sql injection, vulnerabilitati care puteau sa extraga datele confidentiale ale userilor. E cam exagerat sa zici aici ca realizarea site-ul fundatiei dinu patriciu e “KO” pentru un banal xss in cautare…nu crezi ?
2. Cand postezi o vulnerabilitate trebuie sa hasurezi macar o parte din ea pentru a preveni utilizarea ei de alti user mai neprietenosi
. Tu ai avut intentii bune dar ai uitat de status bar unde se vede perfect. Cam neprofesionist nu crezi ?
Toate cele bune si spor la mai multe posturi axate pe informatie pura si mai putin inclinate spre senzational.
iulie 27, 2009 at 6:14 am
Multumesc pentru comentariu, desi inclin sa te contrazic putin… Problemele site-ului erau mult mai grave si au fost comunicate direct celor de la Fundatie. Inclusiv sqli… Am preferat sa pun in articol doar cateva din vulnerabilitatile pe care le au.
N-am sters link-ul deoarece se presupune ca era deja rezolvat…
Te mai astept pe blog, chiar daca ai fost putin malitios!