Что побудило меня написать эту статью. Недавно я написал в megafon об уязвимости в интернет-магазине, уязвимость пофиксили, а банальное спасибо сказать не могут.
Все уязвимости демонстрируют методы получения информации и не должны быть использованы, для взлома.
Итак начнём по порядку:
1. shop.megafon.ru
Пасивная XSS — недостаточна фильтрация параметра si_price_from. точнее разработчик подумал зачем фильтровать, если там ползунок а скрытое поле не видно. Уже пофиксили.
2. http://vrn.megafon.ru/pdfd.action?url=/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
XSS — недостаточная фильтрация параметра URL.
3.https://oauth.megafon.ru/login?msisdn=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&p=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&login=LoginRU
XSS — не фильтруется ни логин, ни пароль.
Поверхностный взгляд и 3 XSS, найденных без особого труда. Так что же это, почему даже такие элементарные вещи, как мелкие XSS, просто игнорируются. Я ещё не проверял bank.megafon.ru, но думаю и там ситуация довольно плачевная, так что я бы не стал особо доверять мегафону свои деньги, информацию и личные данные — как минимум так как нет редиректа с http на https в магазине Мегафон.
Комментарии (12)
disakov
17.10.2016 22:57+2Несмотря на то, что, возможно, автор просто пробежался сканером по сайту и выложил это как статью тут, у меня возникает вопрос. А что у мегафона нет денег на такой сканер, чтобы найти такие ляпы и не позориться? Или отделу безопасности совсем лень? Про предварительное тестирование на такие вещи видимо не стоит и заикаться.
lnroma
18.10.2016 00:20-1Это ручная работа
disakov
18.10.2016 00:30Суть моего комментария немного в другом.
Я думаю сканер должен был такое отловить, если бы им пользовались как надо. И Ваша работа бы не пригодилась.Pakos
18.10.2016 09:31«А как этот сканер запустить? И что это такое?» Думаю, скорее, у Мегафона нет денег на специалиста, знающего про сканер (или про XSS, что ещё печальнее). Теперь благодаря таким письмам они поднимают скилл.
disakov
18.10.2016 13:14Я думаю денег им хватает, соображалки и понимания зачем такой спец нужен не хватает. Как говорится: «Нет бизнес необходимости».
qw1
17.10.2016 23:46+2Я понимаю опасность XSS на публичном форуме: оставил инъекцию в комментарии, своём нике или подписи, и другие пользователи получают её. Но как эксплуатировать XSS на сайтах типа «личный кабинет»? Только сам атакующий видит свои закладки на страницах, и больше никто. Особенно интересно — XSS в параметрах фильтров каталога товаров, как их использовать?
lnroma
18.10.2016 00:07несколько шагов:
1. берёмснифер
2. Пишем js скрипт маскируем под картинку
3. Отсылаем в поддержку магаза мол у вас xss с этой картинкой
4. Получаем сессию
5. Подставляем куки сессии в наш браузер
6. Заходим в админку
и тут несколько вариантов
7.a покупаем что нибудь и ставим ордер как оплаченый
7.b выставляем скидку на товар и покупаем
7.c льём шелл и получаем доступ к серверу.a1ien_n3t
18.10.2016 12:30+2Есть только пара НО.
1) Надеемся что сессия не привязанна к IP
2) Стоят не http-only куки.
qw1
18.10.2016 15:522. Пишем js скрипт маскируем под картинку
Сейчас публичные сервисы (gmail, mail.ru) копируют картинку себе и не оставляют в письме ссылки на внешний ресурс. Корпоративный outlook по умолчанию блокирует подгрузку снаружи. Т.е. картинка должна появиться при переходе по внешней ссылке, что настораживает (если это не инстаграм или fastpic.ru).
Ну и главное — я думаю, у поддержки нет авторизации в админке сайта. Зачем это специалистам первой линии?
Dal
18.10.2016 07:01И еще какое-то время назад пароль в личном кабинете можно было делать только из цифр.
hp6812er
Кто то нашёл старый выпуск журнала Хакер )