Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

2012/Q1 jelentés

2012.04.10. 12:00 | buherator | 8 komment

Az elmúlt hónapokban 14 hibajelzést küldtetek különböző magyar vonatkozású weboldalakkal kapcsolatban, ebből 2 nem volt kihasználható, 5-tel kapcsolatban kaptam visszajelzést az üzemeltetőtől, 2 esetet jelentettem a CERT-nek. 

Az érintettek nevében is köszönöm Márton, GHost, Domi, Csiszi, Da Metts, Deviance, ScottAnyo, Detritus, Ventax és Kardhal munkáját!

Sajnos vannak, akik úgy érzik, nincs szükségük segítségre:

Márton a kavefutar.hu-n talált SQLi-t:

kavefutar_sqli.jpg

Bár XSS-el általában nem foglalkozom Ventax találata a Honfoglalón azért említést érdemel:

honfoglalo_xss.png

Kardhal újabb példát talált arra, hogyan lehet egy alapvetően biztonságos Drupal portált elrontani egy nem megfelelően megválasztott modullal:

kjg_sqli.png

Detritus pedig egy régi ismerőst mutatott be újra:

divido_2012_1_1.jpg

Címkék: az olvasó ír kjg.hu honfoglalo.hu kavefutar.hu

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Szántó Gábor · http://choirs.oftheworld.club 2012.04.11. 09:43:37

A drupal oldalnál nem is annyira a modulválasztás a gáz, hanem éles oldalon nem letiltani a hibaüzenetek kiírását. Ja, és ez: Id: CHANGELOG.txt,v 1.253.2.11 2008/08/13 23:59:12 drumm Exp $
Megnéztem a kérdéses modult is, elég jól karbantartott, nem tartom valószínűnek, hogy jelenleg aktuális verziónál fennálljon a hiba.
Összességében itt a potenciális sec hole a megrendelő, aki elkészítteti az oldalt, de a frissítésekre már nem tart igényt.

buherator · http://buhera.blog.hu 2012.04.11. 11:58:45

@Szántó Gábor: "nem is annyira a modulválasztás a gáz, hanem éles oldalon nem letiltani a hibaüzenetek kiírását" - ezt komolyan mondod? Kiderül a szerveren belüli elérési út vs. korlátlan DB hozzáférés... Abban igazad van, hogy a modulfrissítés elhanyagolása is fontos tényező volt ebben az egyenletben.

Szántó Gábor · http://choirs.oftheworld.club 2012.04.11. 16:50:16

@buherator: Ezt nem igazán vágom, ebből hogy lesz korlátlan db hozzáférés? A szerveren belüli útvonalból ugyan a settings.php helye kikövetkeztethető, de ha normálisan van beállítva a jogosultsága, akkor nem nagyon férhetnek hozzá.
Nekem ez egy teljesen mezei mysql syntax errornak tűnik.
Mit nézek be?

Szántó Gábor · http://choirs.oftheworld.club 2012.04.11. 17:56:15

@buherator: aa sorryvagyok, közben leesett, csak az index.php melletti feketeséget nem vettem észre, hogy onnan indul az egész.

Gaius Baltar · http://cydonia.blog.hu 2012.04.11. 18:02:54

Kosz a drupal modullal kapcsolatos figyelem felhivast! Reszemrol a security teamnek jeleztem, hogy szar a module es vagjanak a developerek fejere egy kibaszott nagy tukorpontyjal.

Szántó Gábor · http://choirs.oftheworld.club 2012.04.11. 18:06:36

@buherator: amúgy thx, ment a report a secu teamnek, és készül a patch is.
Ööö izé, ezt csak úgy mellékesen: drupal.org/security-team/report-issue
Szóval ha ilyen van akkor dobhatsz akár privátot is, mielőtt publikálod, a kollégákkal a #drupal.hu irc csatin lerendezzük.

buherator · http://buhera.blog.hu 2012.04.11. 22:33:13

@Gaius Baltar: @Szántó Gábor: Kösz a közreműködést! Igazából nem jártam utána, hogy konkrétan milyen modulban van a hiba, azt feltételeztem, hogy ez valami belső fejlesztés, amire nincs ráhatása a secteamnek. Jó látni, hogy a Drupalosok ilyen aktívan monitorozzák a blogszférát :)