XSS уязвимости в големи български сайтове и онлайн магазини – част 1
Pregleda 21 | Коментари
В България доста от големите сайтове имат сериозни пропуски в откъм security , интересното е, че дори и да им пишеш мейл и да и обясниш, че имат проблем, дори няма да си направят труда да ти отговорят, камо ли да решат да си оправят проблема. Единствено OLX.BG писаха в рамките на 24часа и казаха, че са предали проблема, че чак са ми отпуснали някакви точки в сайта им ( 10 ), чрез които могат да рекламирам обяви. За тях ще драсна отделна тема, след като си разрешат проблема.
XSS с няколко думи – вектор, който позволява да се inject-ва malicious payload JS скрипт в даден уебсайт. Тук няма да публикувам точно определен malicious JS по обясними причини, а само ще разгледаме примерен payload, който доказва лошо валидиране на определени полета.
Hippoland.net
Популярен онлайн магазин за играчки. Драснах им набързо за проблема, не си направиха труда дори да ми отговорят.
eStreamDesk
Тези сладури се занимават с предоставяне на support ticket система, а дори не си направиха труда да отговорят на съобщението. Български стартъп с не лоши позиции в startuprankings. При тях проблема е още по-голям, защото правилен XSS payload няма да има никакви проблеми да вземе информация от хората, които използват платформата за support на клиентите си. Целия document.cookie може да се прати към външен сървър, който логва. Critical бъг както и да го погледнеш, а пък още по-интересното е, много полета не се валидират от въпросните tickets, тоест XSS може да се екзекютне от няколко места – лично аз успях да искарам alert() на 4 или 5 места.
ItAdvanced и сайтовете, които са правили
Реших да им звънна по телефона, така или иначе се занимават със сайтове, по-добре биха разбрали проблема. След като им обясних, че няколко сайта, които са правили са уязвими на определен XSS payload, по телефона ми казаха, че не ми харесват подхода, с който подхождам??? Тоест да съобщя за нередност. След това пита какво е това – „инжекция ли е?“ и каза, щом съм решил „да инжектирам – да инжектирам“. Да допълня, че казаха, че са приключили с въпросните клиенти и ако съм искал да им пиша на определените сайтове.
Тези са типичните спамери по телефон, които те питат дали ще „прекратявате“ рекламата в гугъл при тях ( такава няма разбира се ) срещу определена сума. Нямат едно поле, което валидират, включително потребителските имена, освен XSS, тук минават и няколко blinkd SQL payloads.
Като цяло почти нямат сайт, който правилно да валидира определени полета. Както казаха и по телефона “ Щом искаш да инжектираш – инжектирай“.
Като имам време ще пусна и втора подобна статия.
пс: Въпросния payload, който съм използвал е само за демонстрационни цели, единственото, което прави е да изкара alert() съобщение, което показва лошо валидиране и експейпване на определени chars. Нищо Malicious не е използвано.
