Hacknite si malacky.sk

[Snake]

...alebo oX(SS)ide s.r.o v praxi.

Dnes si tak brúzdam sajtom malaciek (malacky.sk), až narazím na spoločnosť ktorá mala túto stránku na starosti - oxide.sk . Niekde som názov tejto firmy už počul, nespomenul som si avšak kde, tak som skúsil Google a dostávam sa na stránku SME.sk kde sa dozvedám, že portál malacky stál 88-tisíc slovenských korún (2921€). Suma nemalá, avšak realizátor mne známy:

Novú stránku vytvorí 17-ročný študent Gymnázia v Malackách Daniel Krakovský, ktorý pre spoločnosť Oxide pracuje.

inak povedané CrakeN z PC_Space, bývalý moderátor a redaktor pretaktovania. Keďže sa venujem aj security, tak som bol zvedavý za čo CrakeN zhabal skoro 3000€. Skúšam textové pole na XSS v podobe:

Kód: Vybrať všetko

<script>alert(1)</script>

ale dostanem len escapenutý string v podobe:

Kód: Vybrať všetko

\"<script>alert(1)</script>

Následne si čítam o meste a v adresbare si všímam:

Kód: Vybrať všetko

http://www.malacky.sk/index.php?page=registracia
http://www.malacky.sk/index.php?page=zabudnute_heslo
http://www.malacky.sk/index.php?page=uradtab_archiv

inak povedané zaujal ma hlavne ?page=. Skúšam opäť XSS a hľa:
<a href="http://snake.havran.eu.sk/pretaktovanie/malacky.jpg" target="_blank"></a>

XSS ako vyšité, bez akéhokoľvek escapu a inicializované dokonca 3x (!!) za jeden DOM load. Predpokladám že každý nevie čo XSS je, hodím teda quote bezpečnostného experta na SR:

XSS alebo Cross-site scripting je typ útoku, kedy sa za použitia client-side skriptov (JavaScript) pozmení časť kódu zobrazovanej webstránky tak, aby bol nebezpečný skript útočníka spustiteľný a vykonal určitú akciu, napríklad získal a odoslal dáta z cookies obete. Útočník tak po nahratí dát z cookies ktoré získal od obete, často získa prístup do aplikácie (webstránky) bez toho aby poznal vaše prihlasovacie údaje!

(<a href="http://blog.synopsi.com/2007-12-12/najpopularnejsie-utoky-xss-a-csrf-na-vyslni">link na celý článok</a>)

Čiže na malacky.sk nájdete novú službu menom "Hacknite si malacky.sk". Chcete napríklad google v malackách? Žiadny problém >> http://www.malacky.sk/index.php?page=%22%3Ciframe%20src=http://www.google.com%3E%3C/iframe%3E

Kradnúť maily? Cookies? Heslá? opäť žiadny problém. Dôvod prečo postujem tento článok je ten, že ma zaujalo ako mesto Malacky, dá peniaze (dosť veľké pravda?) za projekt, bez akéhokoľvek zabezpečenia namiesto toho aby použila free CMS riešenia ktoré sú (väčšinou) bez takýchto veľkých a "detských" chýb.

Edit 18.4.2009:

Chyba bola včera opravená.

[Danix64]

coo? tolko penazi za web? ved to je jake drahe
waau, ty bežne hľadáš chyby a rôzne hackingové postupy?

[Misak007]

:D:D Kapem z toho...

[faugusztin]

coo? tolko penazi za web? ved to je jake drahe

Tebe sa to zda drahe ? A inac nutnost znalosti sposobov XSS, SQL injection a roznych inych utokov by mala byt znama kazdemu programatorovi.

[Snake]

Na takú robotu, veru hej, je to drahé, a ešte sa dá spomenúť aj to, že do toho šli buď peniaze mesta, alebo štátu, za projekt, ktorý je deravý jak ementál, stačí si pozrieť google, alebo aj http://blog.itstudio.info / alian.info .

[Timmy2k]

Snake - rulez, čo k tomu dodať, ale ak to niekoho baví...
Bolo by to dobré niekomu povedať, či už Crakenovi alebo na druhej strane magistrátu mesta Malacky (a možno budeš mať odmenu aj Ty Snake)

[faugusztin]

Teraz nehovorim o kvalite odvedenej prace, ale o rozsahu... Keby to bolo urobene spravne, tak sa mi ta suma az tak obrovska nezda.

[Snake]

CrakeN ani nestihol dodať včas projekt, malacky.sk ho dokonca istý čas prevádzkovala polofunkčný (a ako pozerám, to je doteraz). Každopádne mňa (keby som bol občan malaciek a platil dane štátu / mestu) by vyslovene sralo že peniaze šli niekomu, kto si svoju robotu odflákne.

[Timmy2k]

CrakeN ani nestihol dodať včas projekt, malacky.sk ho dokonca istý čas prevádzkovala polofunkčný (a ako pozerám, to je doteraz). Každopádne mňa (keby som bol občan malaciek a platil dane štátu / mestu) by vyslovene sralo že peniaze šli niekomu, kto si svoju robotu odflákne.

to už zachádzame ale trochu do politickej diskusie, pretože takáto vec nie je v našom štáte nijaká výnimka a to nie len na samosprávnej ale často aj celoštátnej úrovni.

Napr. môj skromný nesúhlas so šrotovným....

[Snake]

To v akých vlnách sa pohybujeme v súvislosti s portálom je vcelku jedno, riešime čisto portál a súvislosti okolo neho. Čo sa týka tej ankety na malacky.sk, tak ankety pomocou cookies sa už dávno nerobia

ja len napoviem

click > delete cookie > click > delete cookie > click > delete cookie > click ...

Bolo by to dobré niekomu povedať, či už Crakenovi alebo na druhej strane magistrátu mesta Malacky (a možno budeš mať odmenu aj Ty...

Crakimu je jedno čo sa na jeho webových aplikáciach deje (aspoň po komunikácii s jedným občanom Malaciek), nerobím to ani kvôli sláve a ani kvôli dákej odmene, ide mi čisto o odstránenie tej chyby čím som aj poslal mestu mail.

[Attilka]

Klobuk dole !
Vyjadril by som sa k veci asi pre niektorych zaporne.Mna zaraza akurat to,ze mas casu hladat chyby,ktore napriklad mna obycajneho uzivatela internetu absolutne nezaujimaju.a nikdy by ma nenapadlo(nemam cas na to),ale je zase zaujimave aj to,ze ked tu bol ako mod alebo admin,bol ,potom sa jeho osoba vynulovala absolutne,neviem pochopit preco treba ublizovat jeden druhemu?
Sa stavim o hocico,ze nie celkom nahodou si brazdil akurat malacky.sk,a nie cirou nahodou si nasiel tu chybu.
Nie ze sa nahnevas,nie je to proti tvojej osobe,Ja proti tebe nemam nic,len citam tento thread od zaciatku,a si vsimam,ze okrem ponizovania nevidim nic ine,preco sa nemohlo napisat hned ako prvemu(asi kamaratovy/byvalemu moderatorovy),a nerobit okolo toho taky bordel,preco mu zavidime ?
Zavidime niekomu cca 3000Eur?Niekde inde si kradnu bez nasho povolenia,a len cumime,ale tam sa ozvat neopovazime,a nejedna sa ani zdaleka o taku "smiesnu" sumu,ako v tomto pripade!!!
Ani zdaleka neviem co bolo medzi CrakeN-om a pretakt.sk,ani ma to absolutne nezaujima,ale niekedy si vieme narobit starosti z ineho !
OKAY:Beriem to ako vystrihanie inych webdizajnerov pred takymito "chybickami",ale sa to mohlo aj inak uverejnit,aspon podla mna.
PE ES KO :
Toto nech nikto neberie na seba,nie je to urazliveho povodu,len take poznamenanie-povsimnutie z mojej strany.Netreba si navzajom ublizovat,niesom a ani sa necitim nejak povyssim ako ten druhy,ale ak by kazdy hladal chyby,by sme sa nedocitali podobnych
prispevkov.Nezastavam sa ho,lebo poznam osobne alebo nejak inak,len poznamenavam-konstatujem
Nikto nieje 100%ny
Ak sa to nejak niekoho dotyka,PLZ zmazat,nechcem nikoho urazit

[Gudas]

Nuž, čo si ja pamätám, tak Cracken si tu postol niečo absolútne úchylné (doslova), asi aj preto sa "jeho osoba vynulovala".
Čo sa týka toho, že ťa nezaujíma chyba stránky, ktorú možno navštíviš - ok, tak to potom odinštaluj antivírus, vypni firewall a daj si svoje prihlasovacie mená a heslá od e-mailov a internet bankingov zdieľať - je to to isté
Tu ide skôr o to, vziať finančnú odmenu/výplatu za nedokončenú prácu...ktorá navyše môže niekomu aj uškodiť...

[faugusztin]

Tak za prve, tu nejde o ublizovanie. Nemam rad taketo utoky na stranky, no clovek sa im v dnesnom internete nevyhne. Preto je nutne taketo aplikacie programovat s co najvacsim dorazom na bezpecnost.

Co sa tyka toho, ze to Snake zverejnil - ako si si mohol precitat tak autor a prevadzkovatel boli upozorneni. No neda sa vyckavat donekonecna, jeden den sa prebudia a zistia, ze namiesto malacky.sk sa im zobrazia akesi turecke hlasky...

[Snake]

Attilka: prepáč ale ty si úplne mimo, s CrakeNom tá stránka má spoločné asi to, že je jej realizátor, objavenie chyby nebolo založené na tom, že som chcel CrakeNa poškodiť alebo niečo v tom zmysle. Ten portál má ešte iné diery, každý trošku znalejší ich nájde, ja ale script-kiddies podporovať nemienim. Takže tvoj komentár (resp. dojem zo situácie) je mimo. Keby si robil web ty, ja, gates, hocikto, a nájdem ju, tak ju zverejním, mne nejde o to vyvyšovať sa nad crakenom.

K tvojej bezpečnosti, a že ťa to nezaujíma, tvoj problém, snáď raz prídeš na to, keď sa ti niečo horšie stane, že sa jedná aj o tvoju bezpečnosť. Aby som bol presnejší, nejde tu o to že malacky.sk vyhodia popup okno s nápisom XSS, ide o to, že niekto si kľudne kradne cookies, alebo dokonca horšie veci. Nezaujíma ťa to? Tak to ťa dosť ľutujem...

[Attilka]

Chlapi omyl,mna ako ta chyba tej stranky nezaujima,okrem ineho mam "svoj" firewall aj antivir,okrem pretakt.sk mam svoj osvedceny postup na prihlasovania,ktory udajne nezanechava stopy po sebe ani v mojom PC,a to ze sa nahrabe niekto na ineho chybach,alebo lepsie povedane nevedomosti,je uz kazdeho osobna vec,ja nemam ani nemienim investovat svoj cas na take veci,ako hladanie chyb na strankach,sem-tam kuknem tu aj tam,pohladam co akurat potrebujem a vypinam PC.
PE ES KO : V nasej zazracnej republike sa kradne ostosest,este viac ako za totalizmu,len trocha inak