ttttasha
Наталия Коннова Пользователь — была вчера 23:36

Найден очередной "пакет" уязвимостей сайта Туристер

23 16

В связи с недавним сообщением от администрации о DDOS-атаке на Туристер, мы провели новую проверку сайта на предмет уязвимостей.

Недавно (в июне) наша семья вела плотную переписку с техподдержкой сайта по вопросам очень серьезных уязвимостей на Туристере, найденных случайно, когда муж заметил вываливание лога системных ошибок простым смертным. Общение возымело очень мало действия, и позже мы вам, пользователям Туристера, продемонстрировали безобидный пример уязвимости, когда вы все полайкали его запись, не желая этого: https://www.tourister.ru/users/gkonnov/blog/6679

Проблемы же, на самом деле, были гораздо глубже. Например, мы могли отредактировать текст любого рассказа (в том числе и до пустого!) и т.д. и т.п. И можем до сих пор!!! И ошибки выводятся на лицезрение желающим их увидеть тоже до сих пор! Не знаю, связано это с недостатком компетенции разрабов сайта или с недостатком времени на это.

К сожалению, кое-что исправили из описанного нами, но далеко-далеко не все.

В итоге, не нужно даже особо применять наворочнные и сложные подходы социальной инеженерии для атаки. Эксплуатация найденных уязвимостей очень тривиальна. Итак, вчера обнаружены новые уязвимости, всего за час поисков. В частности, мы могли бы БЕЗ ВАШЕГО ВЕДОМА выполнить следующие действия:

- Проверить баланс баллов у любого пользователя

(Если вам интересно, можете нас спросить и мы вам ответим, сколько у вас баллов. Сначала я хотела выложить для примера балансы нескольких пользователей, но решила, что это неэтично.) Но вот пример проверки баланса пользователя №1 (никто ведь и не догадывается, кто это =)):

- Осуществить перевод бонусов в нашу пользу с вашего баланса. (Да-да, без вашего на то желания. Мы сделали пару примеров эксплуатации, надеюсь, работоспособность схемы будет подтверждена и независимыми по отношению к нам людьми. Опять-таки, если Вам интересно, можем продемонстрировать. Причем использовали довольно "топорный" внешний вид, можно проделать работу тоньше.)

- Оставить комментарий от имени любого пользователя.

- Заказать в нашу пользу подарки (футболки, чашки, все что угодно) с вашего баланса бонусов.

Не переживайте, мы не собираемся эксплуатировать это все на самом деле и обзаводиться сотнями футболок и т.п. Мы всего лишь честные исследователи. Просто говорим, что могли бы. И могут другие.

Ну и, наконец, самое "вкусное": очередная XSS-уязвимость, которая позволяет получить доступ почти к любым действиям при должной сноровке. Например, угнать аккаунт админа сайта. Проверить баланс денег на партнерке. Если б у нас был тестовый аккаунт с достаточным количеством денег (угонять чужой мы считаем неэтичным), то думаю, можно проверить и угон денег с партнерки. Скорее всего, получится.

Все описанные уязвимости были проверены, примеры эксплуатаций созданы и сработали успешно.

Вот такие дела, дамы и господа. В качестве демонстрации самой безобидной из описанных уязвимостей можете посмотреть пример авто-комментирования записи в блог моего мужа: https://www.tourister.ru/users/gkonnov/blog/7073. Ваши реальные комментарии к обсуждению приветствуются! =)

P.S.: сразу хочу сделать ремарку для тех, чья первая мысль схожа с мыслью про недавнюю DDOS-атаку: "Им что, заняться больше нечем?". Да, господа, нечем. Люди, которые работают в такой сфере, именно этим и занимаются в силу своих прямых рабочих интересов. Такие люди таким образом наполняют свое портфолио и, описывая успешные атаки, повышают свою репутацию в сообществе. И зарабатывают на подобных "внерабочих" поисках уязвимостей деньги часто сопоставимые с основной заработной платой.

P.P.S.: также хочу обратить внимание всех заинтересованных, что наша семья (и даже муж, чья заслуга в обнаружении всех этих уязвимостей тут главная) - дилентанты! Эта сфера не является нашей основной областью работы, а только смежной. Так что настоящий специалист службы безопасности любой крупной IT-компании, скорее всего, вообще "разорвал бы" сайт, как Тузик грелку.

P.P.P.S.: пользуясь случаем, еще раз прошу обратить внимание администрации на имеющиеся проблемы. Спасибо! 

2393.09 – карма
Позиция в рейтинге – 67

Комментарии

Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
Запись с ответом была удалена.
vasilets
+1
26 сентября 2015 г. 16:13
Круто. Я знал, что возможности IT технологий велики. Но возможности фокусов с реальным сайтом считал фантастическими штучками....
ttttasha
+1
26 сентября 2015 г. 16:20
Если посидеть, как правило, можно что-то всегда найти на не очень защищенных сайтах.
Lilija_Krjazheva
+2
26 сентября 2015 г. 19:36
Вот так живешь, беды не чуешь,...... а, оказывается, стоит кому-то захотеть, и с тебя снимут последнюю футболку
ttttasha
+2
26 сентября 2015 г. 20:06
Не то слово, футболку точно снимут. =) А можно вообще аккаунт любого пользователя "угнать".
Dimitry
+1
26 сентября 2015 г. 19:58
Вам теперь можно кружками туристеровскими оптом на рынке торговать...
ttttasha
26 сентября 2015 г. 20:05
Зачем кружками. =)) Проще деньги получать с партнерок пользователей.
Dimitry
26 сентября 2015 г. 20:12
Попробуйте с моей получить! У меня там ноль. Просто потому что я не знаю, как ее завести. Пробовал, не получилось. А вы про взлом сайта гутарите... Мне бы кнопку "пуск" найти.
ttttasha
+1
26 сентября 2015 г. 21:00
Именно для этого сначала нужно проверить баланс пользователя, а уж потом его обчищать. А вообще это все нехорошие, черные, шутки, ладно. Но лишиться-то аккаунта своего или всех рассказов, например, Вам же было бы не очень приятно? Вот поэтому и пишем, что дыры надо закрыть.
Dimitry
+1
26 сентября 2015 г. 21:02
Это да. До сих пор жаль некоторых фотографий, которые исчезли.
ttttasha
26 сентября 2015 г. 22:06
Да, уже два случая было массовой и бевозвратной потери фоток. Причем второй был куда объемнее.
Margaritka
+1
27 сентября 2015 г. 6:01
Наташа, спасибо за информацию и предупреждение! От первой грустно, а второе мобилизует скопировать хотя бы записи!
ttttasha
27 сентября 2015 г. 16:30
Конечно, все материалы лучше хранить отдельно тоже, и делать бэкап, ведь дело не только в несанкционированном доступе и кибер-атаках, но и в банальных ситуациях типа недавних потерь фотографий.
Butyrskii
+1
28 сентября 2015 г. 8:22
Надо срочно тратить бонусы, ну или записывать их количество. Спасибо за вашу работу, думаю, что админы прислушаются
ttttasha
+1
28 сентября 2015 г. 11:35
Да, я думаю, скоро исправят Записывать необязательно: в истории начисления/списаний все будет видно, если что. =)
Butyrskii
+1
28 сентября 2015 г. 11:36
От греха подальше, и историю заскриню тоже
Nomad
+1
28 сентября 2015 г. 12:55
Интересное кино, интересное! Надеюсь, что наша доблестная команда предпримет необходимые действия...
Ребята, вы молодцы!
ttttasha
28 сентября 2015 г. 13:01
Да, надеюсь, все исправят в сжатые сроки.
Nomad
28 сентября 2015 г. 13:09
Nata7777
28 сентября 2015 г. 19:34
Наталия, вы молодчинки!!! А же в этом полный ноль. Я раз несколько обращалась за технической поддержкой и баллы у меня снимали. Я это тоже сообщала,но мне ответили, что этого не было видно у них где-то там. . Про фотогафии я вообще молчу. У меня написано в альбомах: нет такой-то фотографии, дополните и прочее. Что же дальше?
ttttasha
28 сентября 2015 г. 19:44
Ну будем надеяться, что дыры будут оперативно закрывать. И все эти ситуации послужат уроком и таких массовых происшествий, типа пропажи огромного количества фоток у всех пользователей, не будет. Конечно, когда сайт разрастается, следить за его целостностью и защищенностью становится сложнее, ведь какие-то куски писали давно ушедшие люди, но что делать... надо справляться.
MarVi
MarVi
18 декабря 2015 г. 0:39
ну и ну....
ttttasha
–1
18 декабря 2015 г. 1:26
Всё еще исправляют...
MarVi
+1
MarVi
18 декабря 2015 г. 1:44
Да что вы? печально...
Войдите, чтобы оставить свой комментарий.