Sú to pomaly tri mesiace čo som spustil tento blog. Jeho pôvodný zámer bol informovať o bezpečnosti v IT. Najskôr len tak všeobecne, časom vlastné výskumy a prieskumy v rámci lokálnych i zahraničných trhov. Dnes nastal čas začať písať o bezpečnosti na Slovensku a v Čechách. Pred pár týždňami som začal s testovaním portálov a webov v oboch krajinách. Aké sú výsledky a čo všetko tieto testy priniesli sa môžete dočítať v tomto článku.

Obsah

• Slovo úvodom
• Niečo o testovaných subjektoch
• Niečo o spôsobe testovania
• Korektnosť predovšetkým
• Niečo o komunikácii so spoločnosťami
• Testované subjekty
• Computer Press, a.s. (zive.sk/cz, mobilmania.sk/cz, atď.)
• Petit Press, a.s. (sme.sk)
• SYMBIO Digital, s.r.o. (symbio.cz)
• Zadanie.sk (zadanie.sk)
• Internet Mall Slovakia, s.r.o. (mall.sk)
• Omega Publishing Group s.r.o. (score.cz)
• Joj.sk (joj.sk)
• Internet Info, s.r.o. (root.cz, lupa.cz, atď.)
• Dsl.sk (dsl.sk)
• InterStore s.r.o. (interstore.sk)
• MITON CZ, s.r.o. (emag.cz, stahuj.cz)
• Digital Visions, spol. s r.o. (pcrevue.sk, itnews.sk atď)
• Slovak Telekom (t-com.sk, slovaktelkom.sk atď)
• Netcentrum SK, s.r.o. (centrum.sk, zena.centrum.sk atď)
• ESET, spol. s r.o. (eset.sk)
• ONEE MEDIA s.r.o. (mojshop.sk, webmagic.sk)
• Springer Media CZ, s. r. o. (automotorevue.cz)
• Kvety.sk s.r.o. (kvety.sk)
• Azet.sk, a.s. (azet.sk)
• Neris, s.r.o. (ceskenoviny.cz, financninoviny.cz, sportovninoviny.cz)
• UPC BROADBAND SLOVAKIA, s.r.o. (upc.sk, chello.sk)
• Atlas.sk (atlas.sk, menu.sk, atď.)
• Zoznam, s.r.o. (zoznam.sk, bleskovky.sk, atď.
• Zhodnotenie
• Záver

Slovo úvodom

Počas tejto doby som sa mnoho naučil o prístupe a všeobecnom ponímaní bezpečnosti jednotlivých spoločností. Pôvodne som netušil, čo všetko obnáša testovanie stránok bez upozornenia kompetentných osôb, bez ich spolupráce a samozrejme bez úmyslu akokoľvek testovací subjekt poškodiť. Jednotlivé testy, napríklad na SQL Injection poskytované komerčnými softvérmi môžu spôsobiť nenahraditeľné škody a preto som sa v rozhodol nepoužiť žiadne z dostupných riešení, ale napísať si vlastný softvér, na ktorom by som dokázal ovládať jeho správanie na tej najzákladnejšej úrovni. Napísať si funkčného robota mi trvalo približne dva týždne. Robot je napísaný v mojom obľúbenom jazyku python, ktorý vďaka mnohým dostupným knižniciam vytvoril dostatočne kvalitné prostredie pre zrod takéhoto nástroja. Asi najväčší problém mi robilo preluskávanie custom errorov (vlastné stránky reprezentujúce chybu 404) a taktiež Cool URI. Robota som pôvodne uvažoval vypustiť pod hlavičkou niektorej z licencií, ale dohovorilo mi pár kamarátov, ktorí ma presvedčili, že zásobovať script kiddies nemá najmenší zmysel a komerčných, či nekomerčných riešení existuje dostatok.

späť na obsah

Niečo o testovaných subjektoch

Ako prvé mi napadlo otestovať najväčšie portály v oboch krajinách, no z tejto myšlienky som rýchlo upustil. Nie som na domácej scéne takmer vôbec zbehlý, pohybujem sa viacmenej len na zahraničných portáloch. Lokálne vyhľadávam poväčšine len blogy, aj to určitého charakteru. Preto som sa rozhodol začať testovať stránky úplne náhodne, podľa toho ako ich navštevujem, alebo ako na ne narazím. V teste sa objavia malé, veľké, populárne, ale aj menej známe weby. Je možné, že som prehliadol niektoré z portálov, ktoré by stálo za to otestovať. Všetky také mi môžete kľudne navrhnúť v komentároch.

späť na obsah

Niečo o spôsobe testovania

Pôvodný zámer bolo otestovať vybrané weby na všetky možné typy chýb, ako XSS, CSRF, SQL Injection, RFI, Bad/Old Update, DoS (na aplikačnej úrovni), atď. Po prvom teste ma entuziazmus rýchlo prešiel a obmedzil som sa na testovanie SQL Injection a XSS. I tak mi testy zabrali veľké množstvo času, aj keď nájdené chyby sa objavovali takmer všade, kde som vkročil. Pôvodne som sa obával DoS-u webov pri testovaní robotom, občas aj malá chyba v kóde testovanej stránky môže spôsobiť pád celého serveru. Už s tým mám svoje skúsenosti. Pred rokom a pol som otestoval stránky môjho zamestnávateľa, pri ktorých 10 vlákien (10 simultánnych pripojení) zhodilo celý portál, na ktorý sa pripájajú tisíce ľudí denne. Chyba bola v kóde, ktorý svojím neustálym cyklovaním zahlcoval buffer servera, ktorý pod týmto náporom skolaboval. Preto som si dával veľký pozor, aby sa situácia neopakovala. Rovnako som nechcel použiť žiadny z testovacích nástrojov, akým je Canvas, alebo Nessus, ktoré by v prípade úspešného prieniku mohli spôsobiť veľké problémy. Tým chcem povedať, že som týmto testovaním nemienil spôsobiť žiadnu škodu. Testom sa snažím poukázať na mieru zabezpečenia webov na Slovensku a v Čechách.

späť na obsah

Korektnosť predovšetkým

Ako som spomenul už vyššie, žiadny portál nezaznamenal ujmu pri mojom testovaní a pred písaním tohoto článku som poskytol všetkým spoločnostiam viac než 48 hodín na odstránenie nájdených chýb. Každá spoločnosť dostala rovnako šancu ma kontaktovať v prípade, že by si s objavenou chybou nevedeli dať rady. Chyby som riadne opísal a podložil screenshotmi, ktoré mienim použiť ako proof of concept (POC) aj v tomto článku. Rovnako som sa odhodlal popísať jednotlivé chyby pri každej spoločnosti a jej portáloch, aby mohli aj ostatní čerpať z týchto postupov a ošetriť tak svoje weby pred prípadným zneužitím. Ešte by som rád dodal, že emaily boli poslané naraz všetkým spoločnostiam v rozmedzí niekoľkých sekúnd. Emaily boli poslané vo štvrtok okolo deviatej hodiny rannej.

späť na obsah

Niečo o komunikácii so spoločnosťami

Keď som sa test konečne rozhodol ukončiť a začať spracovávať výsledky ani mi len nepadlo, že ma čaká ta ťažšia časť. Po utriedení a zoradení výsledkov som si vytvoril zoznam spoločností a začal hľadať spôsob, ako s nimi čo najlepšie komunikovať. Zvolil som email, keďže po telefóne by som len ťažko vysvetľoval operátorke napríklad takého Chella, že som našiel chybu na ich stránkach, ktorá by mala byť čo najskôr opravená. Možno si poviete, email je dobrá cesta, ten má predsa každá spoločnosť. To síce ma, ale aký? Ono nejde o to nájsť email na pracovníčku help-desku, ale na technického pracovníka, ktorý ma na starosti správu webových stránok. 95% som takýto email mal problém nájsť a tak som si vyberal emaily, ktoré by mohli byť dostatočne frekventované, aby si niekto mal možnosť všimnúť môj email. Pri niektorých spoločnostiach som zvolil aj telefonický kontakt, no bez úspechu. Operátori ma nevedeli (alebo nechceli) prepojiť na kompetentné osoby a tak som nemal možnosť správne adresovať moje upozornenia. Tieto spoločnosti sa o chybách pravdepodobne dočítajú až z tohoto článku. Verím však, že chyby odstránia čo najskôr.

Zaujímavá je aj spätná reakcia spoločností. Z 25 poslaných emailov jednotlivým spoločnostiam sa ozvalo presne 16, čo nie je najhoršie číslo. Mrzí ma, že ostatní si nedali ani tú námahu poďakovať za môj voľný čas a námahu, ktorou som ich ušetril od možno veľkého a nepekného problému, ak by bezpečnostnú chybu zneužila iná osoba. O tejto skutočnosti sa zmienim pri každej testovanej spoločnosti. Obzvlášť ma však mrzí, že niekoľko spoločností nepovažuje XSS sa prílišné bezpečnostné riziko aj napriek tomu, že niekoľko jednotlivcov ich podstatu a využitie dokonale zdokumentovalo a preukázalo už dávnejšie. Príkladom môže byť ha.ckers.org, gnucitizen, jeremiah grossman, kuz55, sirdarckcat, ale aj lokálny security-portal.cz. Taktiež ma veľmi mrzí, že niektoré spoločnosti emaily nezaregistrovali a jednej sa dokonca ani len nedal doručiť, server hlásil chybu preplnenej schránky. Naopak by som chcel veľmi vyzdvihnúť spoločnosť symbio a internet info, ktoré ma šokovali svojím fantastickým prístupom a vrelým poďakovaním. Spoločnosť internet info mi dokonca ponúkla drobnosť zo svojho internetového obchodu ako poďakovanie. Tento prístup ma neuveriteľne povzbudil a ubezpečil, že existujú aj spoločnosti, ktoré sa starajú o svoje dobré meno a bezpečnosť svojich zákazníkov/užívateľov. Rovnako väčšina ostatných nezaostávala v poďakovaniach, ale viac už budem bližšie špecifikovať až pri jednotlivých spoločnostiach.

Ešte pred prezentáciou výsledkov by som chcel povedať, že chybu môže urobiť sebelepší programátor, sám som sa nejednej dopustil, až jeden môj čitateľ ma na jednu upozornil vo svojom komentári, avšak záleží na reakcii spoločnosti, alebo programátora, ako sa ku chybe postaví. Väčšina spoločností zareagovala prakticky okamžite po oznámení chýb a ihneď začali pracovať na jej odstránení. Dnes v noci, keď som začal písať tento článok som si väčšinu chýb opätovne prešiel a drvivá väčšina už bola odstránená. Táto skutočnosť poukazuje na korektný prístup spoločností k bezpečnosti svojich stránok/portálov.

späť na obsah

Testované subjekty

Dosť bolo rečí, nasleduje zoznam spoločností v náhodnom poradí, ako som si ich uložil v zozname s emailami. Nehľadajte v ňom žiadny logický rad, spoločnosti som kontaktoval veľmi náhodne, ako sa mi dostali pod ruky.

Ešte chcem dodať, že pri jednotlivých chybách nebudem odkazovať na možné spôsoby útoku, preto vám odporúčam preštudovať si ich teraz.
XSS (Cross-site scripting) - Najpopulárnejšie útoky XSS a CSRF na výslní (Slovensky)
SQL Injection - SQL Injection (Anglicky)

späť na obsah

Computer Press, a.s.

O spoločnosti

Computer Press, a. s., je nejvýznamnější české vydavatelství a nakladatelství v oblasti informačních a komunikačních technologií. V oboru vydávání časopisů, knih a internetových titulů působí již od roku 1994. Stoprocentním vlastníkem Computer Pressu je společnost Riverside.

Zdroj: Cpress.cz

Zaujímavejšie však je, že spoločnosť Computer Press prevádzkuje portály ako zive.sk/cz, mobilmania.sk/cz a mnoho ďalších.

Nájdené chyby
Chýb bolo nájdených dosť. Všetky chyby boli do dnešného dňa odstránené, čo ma veľmi teší.
SQL Injection bolo najdené na portáloch zive.sk, abecedazahrady.cz, mobilmania.sk a navigovat.mobilmania.cz.
XSS bolo nájdené na portáloch abecedazahrady.cz, autorevue.cz, avmania.zive.cz, digiarena.zive.cz, mobilmania.cz a zive.sk.

Komunikácia so spoločnosťou
Zo spoločnosti sa mi ozval pán Martin Jalůvka, ktorý ma oslnil svojím emailom. Komunikácia na úrovni, za oznámené chyby poďakoval, vysvetlil ich pravdepodobnú príčinu. Nemôžem povedať ani krivé slovko na spoločnosť Computer Press. Ich chyby ma mrzeli asi najviac, keďže pre portál zive.sk občas publikujem, ale aj takto môžem dopomôcť k zvýšeniu kvality portálov spoločnosti Computer Press.

Screenshoty ako POC

späť na obsah

Petit Press, a.s.

O spoločnosti

Vydavateľský dom Petit Press, a.s. vydáva 31 regionálnych aj centrálnych titulov s týždenným nákladom viac ako 800 tisíc výtlačkov. Na získavaní a spracovávaní informácií, výrobe novín, zabezpečovaní inzertných, obchodných a distribučných služieb, ekonomickej agende a ďalších činnostiach sa podieľa 500 zamestnancov našej spoločnosti.

Zdroj: Petitpress.sk

Spoločnosť Petit Press taktiež prevádzkuje portál sme.sk a postkytuje množstvo služieb spojených s týmto portálom (ako napríklad blogy).

Nájdené chyby
Chýb bolo nájdených dosť. Všetky chyby boli do dnešného dňa odstránené, čo ma veľmi teší.
SQL Injection bolo nájdené na stránkach sme.sk, kultura.sme.sk, zabava.sme.sk a blog.sme.sk administrácia.
XSS bolo nájdené na stránkach blog.sme.sk, diplomovka.sme.sk, hry.sme.sk, kultura.sme.sk, listky.sme.sk a post.sk slovník.

Čomu som však dodnes neporozumel je, prečo spoločnosť prevádzkuje systémy ako samostatné subjekty. Mnoho častí portálu používa rozdielne systémy, napríklad pre vyhľadávanie. Niektoré vyhľadávajú cez atlas, iné zas cez svoj vnútorný engine. Rovnako je to aj so spracovaním formulárov a použitými technickými prostriedkami, ako aj programovacími jazykmi použitými pri tvorbe jednotlivých častí portálu. Je mi jasné, že nie je jednoduché vytvárať portál na jednom systéme. Jednotný systém vyžaduje obrovské množstvo počiatočného úsilia vytvoriť v podstate frameworkový systém, ktorý je možné nasadiť na akýkoľvek nový projekt pribraný, alebo vytvorený spoločnosťou. Týmto nechcem povedať, že ich systém je zlý, ale že takýto systém sa veľmi zložito spravuje a aj z pohľadu bezpečnosti je jednoduchšie opravovať jednu chybu, ako opakujúcich sa niekoľko rovnakých. Potom je aj ostražitosť a schopnosť predchádzať podobným situáciám veľmi zložitá.

Komunikácia so spoločnosťou
Zo spoločnosti sa mi ozval pán Valér Kot, ktorý sa poďakoval za nájdené chyby, no vyjadril určité obavy ohľadom tohoto článku. Obával sa, aby som neposkytol návod niekomu, kto by mal záujem o poškodenie stránok spoločnosti, alebo niekoho iného. Túto obavu považujem za logickú a dúfam, že po prečítaní článku ho tieto obavy opustia.

Spolu so spoločnosťou Petit Press som kontaktoval aj spravodajský server Idnes.cz, ktorému spoločnosť Petit Press outsourcuje blogovací systém. Napriek tomu som sa rozhodol spoločnosť kontaktovať, aby boli dostatočne informovaní o kvalite produktu a jeho chybách tzn., aby sa raz nečudovali, keby sa niečo stalo. Žiadnym spôsobom nenarážam na kvalitu systému, ktorý takmer vôbec nepoznám, mojím zámerom bolo informovať všetkých, ktorí by mohli byť potencionálne ohrození.

Screenshoty ako POC

späť na obsah

SYMBIO Digital, s. r. o.

O spoločnosti

SYMBIO plní sny svých klientů pomocí internetu. Pomáháme zvýšit zisk, snížit náklady, získat nové zákazníky. Své znalosti a kreativitu zaměřujeme na internetovou strategii, tvorbu a správu WWW prezentací, vývoj webových aplikací, internetový marketing a konzultace.

Zdroj: Symbio.cz

Symbio je internetová agentúra, ktorá stojí za množstvom projektov a webových prezentácií mnohých firiem.

Nájdené chyby
Podarilo sa mi nájsť chyby vedúce k XSS a to pri zadaní reťazca do poľa pre prihlásenie do oranžového spravodaja na hlavnej stránke.
"><script>eval(String.fromCharCode(97,108,101,114,116,40,39,120,115,115,
39,41,59))</script>
Tento kód sem nedávam náhodou. Po jeho zadaní a úspešnej inicializácii sa kód prevedie na <script>alert’xss’)</script> čo vyvolá výstražné okno Javascriptu s textovým reťazcom xss. Týmto kódom sa mi podarilo pokoriť mnoho stránok a to kvôli ich spôsobu ochrany. Väčšina stránok totižto používa ako ochranu (aj proti SQL Injection) zámenu znaku ‘ za \’ a rovnako aj pri “ na \”, čo by v prípade kódu <script>alert’xss’)</script> fungovalo výborne. To však nepomôže, ak zadáte vyššie zmienený kód (samozrejme keď si odmyslíte prvé dva znaky “>, ktoré boli v tomto prípade nutnosťou pre úspešnú inicializáciu kódu. Najlepšou ochranou proti XSS v jazyku php je používať funkciu htmlspecialchars, alebo ešte lepšie systém navrhnutý práve pre ochranu proti XSS PHPIDS.

Komunikácia so spoločnosťou
Zo spoločnosti ma kontaktoval pán Robert Haas, ktorého vystupovanie bolo nadmieru korektné a príjemné. Je to jedná zo spoločností, ktorú by som si pre jej kvalitné jednanie vybral ako svojho obchodného partnera.

Screenshoty ako POC

späť na obsah

Zadanie.sk

O projekte

Cieľom vzniku služby hostovania vysokoškolských projektov je poskytovanie informácii a dokumentov v štýle všetko pod jednou strechou. Zvýšiť kvalitu vysokoškolských zadaní formou ukážky hotových zadaní, jednoduchých návodov, ale predovšetkým kvalitným suportom študent/študent aj formou diskusie. Sprístupniť ďalšie informácie, linky na ostatné stránky potrebné pre vypracovanie daného typu zadania s konkrétnou úlohou.

Zdroj: Zadanie.sk

Za týmto projektom pravdepodobne nestojí spoločnosť, ale partia nadšencov. Na portál som narazil náhodou, keďže môj blogový kolega ayslix prevádzkuje portál podobného charakteru pod názvom NechodimNaPrednasky.sk, alebo NNP.sk.

Nájdené chyby
Na stránkach som našiel chybu vedúcu k XSS vo formulári pre vyhľadávanie.

Komunikácia s ľuďmi od projektu
Z projektu ma oslovil pán Matúš Kočiš (v maili bolo meno použité bez diakritiky), ktorý bol mimoriadne príjemný a korektný. Poďakoval za objavenú chybu a poprosil o bližší popis ochrany. Bol vlastne jediný, kto sa zaujímal o to, ako túto chybu odstrániť a zabrániť ďalším prípadným vznikom chýb podobného charakteru.

Screenshoty ako POC

späť na obsah

Internet Mall Slovakia, s.r.o.

O spoločnosti

Sme bezkonkurenčne najlacnejší obchodný dom na slovenskom trhu! Špecializované obchody elektroexpert.sk, fotoexpert.sk, videoexpert.sk, audioexpert.sk, pcexpert.sk, bartsport.sk, joy.sk a chrono.sk vám pomáhajú ušetriť už viac ako rok. Nedávno sa rodina našich obchodov rozrástla o nový obchod hobbyexpert.sk - kde nájdete zaujímavú ponuku hobby náradia, záhradnej techniky, grilov, kosačkie, bazénov a čerpadiel.

Zdroj: Mall.sk

Nájdené chyby
Na stránkach sa nachádzala chyba vedúca k XSS v sekcii kontaktujte nás za pomoci rovnakého kódu, ako u spoločnosti Symbio spolu s použitím Zero byte code %00.

Komunikácia so spoločnosťou
Zo spoločnosti sa mi ozval pán Ladislav Csukás, ktorý krátkou vetou poďakoval za oznámenie chyby, ktorú okamžite odstránili.

Screenshoty ako POC

späť na obsah

Omega Publishing Group s.r.o.

O spoločnosti

Společnost Omega Publishing Group, s.r.o., vznikla v roce 1998. Jejím prvním vydávaným titulem byl odborný časopis o spotřební elektronice s názvem Hi-Fi, který převzala od vydavatelství Audio V. Během následujících dvou let se časopis natolik dobře etabloval na trhu, že v průběhu roku 2000 začíná společnost hledat cestu, jak rozšířit svoji vydavatelskou činnost na širokém poli domácí zábavy. Krokem k tomu se stává spojení s vydavatelstvím Art Consulting, s.r.o., na podzim roku 2000.

Zdroj: Omegagroup.cz

Spoločnosť Omega Publishing Group taktiež prevádzkuje portál Score.cz.

Nájdené chyby
Prvá spoločnosť, ktorá aj po upozornení chybu neodstránila. Na stránkach sa nachádza chyba vedúca k XSS, ktorú je možné umiestniť vďaka zle navrhnutému systému oznamovania chýb. Chyby sú posielané cez URL formou GET, vďaka čomu je možné vložiť nebezpečný kód.

Komunikácia so spoločnosťou
Zo spoločnosti sa mi ozval Mikoláš Tuček, ktorý prisľúbil chybu preposlať ďalej kompetentným osobám. U tejto spoločnosti som mal veľký problém zistiť kontaktný email na kohokoľvek zodpovedného, tak som si vybral prvého z redakcie. Pri písaní článku som naopak veľmi pracne zisťoval totožnosť spoločnosti, ktorá vydáva časopis Score a prevádzkuje portál Score.cz.

Screenshoty ako POC

späť na obsah

Joj.sk

Televíziu JOJ pravdepodobne nie je potrebné predstavovať a navyše som sa na ich stránkach nedostal k žiadnym informáciám o spoločnosti. Rovnako to bolo aj s kontaktom, ktorý som nakoniec musel riešiť cez tvorcu stránok, spoločnosť Monogram Technologies.

Nájdené chyby
Podarilo sa mi nájsť dve totožné chyby vedúce k XSS na dvoch rôznych miestach. Jedna bola po komunikácii so spoločnosťou Monogram odstránená, druhá doteraz funguje. Netuším prečo, spoločnosť som však opätovne upovedomil a snáď bude okamžite odstránená. Na stránkach JOJ.sk sa mi podarilo taktiež nájsť CMS Typo3, ktorého prihlasovacia stránka je voľne dostupná tu. Aj napriek môjmu odporúčaniu obmedziť prístup k tejto stránke tak urobené nebolo a pravdepodobne ani nebude. Pán Ján Jenca sa vyjadril v zmysle, že sa neobávajú možného zneužitia tohoto CMS. Ja by som však rád upozornil, že nie je možné sledovať všetky objavené chyby (hlavne ak sa jedná o privátne), čakať na tím vývojárov a okamžite aktualizovať systém. Mnoho spoločností na tento laxný prístup doplatilo, ostáva mi len veriť, že televízia JOJ sa raz nestane cieľom znudeného teenagera, ktorý bude vyhľadávať možnosť ako sa zviditeľniť.

Komunikácia so spoločnosťou
Zo spoločnosti MONOGRAM Technologies sa mi ozval pán RNDr. Ján Jenča, ktorý prisľúbil odstránenie chýb. Ako som už napísal vyššie, jedna z chýb nebola odstránená a taktiež nebolo zabezpečené doplnkové overenie užívateľa pri vstupe do administračného systému CMS Typo3.

Screenshoty ako POC

späť na obsah

Internet Info, s.r.o.

O spoločnosti

Naše společnost, Internet Info, s.r.o., je významným hráčem českého internetového trhu s širokým portfoliem služeb a dlouholetou zkušeností v oblasti e-commerce. Vydáváme známé zpravodajské servery, provozujeme profesionální systém pro měření a analýzu návštěvnosti a poskytujeme konzultační služby pro optimalizaci internetového marketingu.

Zdroj: Iinfo.cz

Spoločnosť Internet Info prevádzkuje portály ako lupa.cz, či root.cz.

Nájdené chyby
Pri portáloch tejto spoločnosti som sa takpovediac trošku zapotil. Ich ošetrenie bolo takmer všade veľmi kvalitné a bola veľmi nízka pravdepodobnosť nájsť chybu. Ani vyhľadávacie pole a ani polia pre zadanie komentáru neumožnili inicializáciu kódu. Pri komentároch všade okrem poľa pre zadanie nicku neumožnil filter zadať akýkoľvek reťazec obsahujúci znaky <>. Práve pole pre zadanie nicku túto ochranu nemalo, no i tak sa kód nemohol inicializovať a previesť. Avšak ak ste do vyhľadávacieho poľa zadali reťazec <script>, vo výsledku vám bol vrátený komentár, ktorý ste vložili ako nick komentáru, ku príkladu napríkladu <script>alert(’xss’);</script> a tento kód bol následne inicializovaný a prevedený. Málinko zložitý postup, no stále rovnako úspešný.
Chyba však bola okamžite po nahlásení odstránená.

Komunikácia so spoločnosťou
Zo spoločnosti Internet Info sa mi ozval pán Tomáš Krause, ktorý ma veľmi milo prekvapil, nielen veľmi príjemným emailom, ale aj ponukou vybrať si malý darček z ich shopu. Taktiež dodal veľmi príjemnú a pravdivú vetu, citujem: “Pokud byste v budoucnu ještě nějaký problém objevil (nikdo není neomylný), určitě mi napište.”
Bodaj by bolo viac spoločností, ktoré chápu bezpečnostné riziká a neobávajú sa za nález odmeniť (nie je dôležitá hodnota odmeny, dôležitý je úmysel). Každému, kto sa bezpečnosti venuje profesionálne a považuje sa za člena White Hat musí takýto prístup zalichotiť a veľmi ho potešiť.

Screenshoty ako POC

späť na obsah

Dsl.sk

O spoločnosti

Server DSL.sk monitoruje stav broadbandu a oblasť mobilného pripojenia k Internetu na Slovensku, informuje o dianí vo svete IT a v iných oblastiach najmä hitech technológií. Podľa nezávislého merania auditom návštevnosti Google Analytics mesačne server DSL.sk navštevuje viac ako 150 000 unikátnych návštevníkov. Viac ako 93% návštev je zo Slovenska.

Zdroj: Dsl.sk

Nájdené chyby
Chýb bolo pôvodne viacej, ale jeden z mojich čitateľov po spoločnej diskusii v niektorom z príspevkov tu na blogu spoločnosť upozornil na existujúce SQL Injection. Príkladom jednej takej bola SQL Injection, ktorá vrátila informácie o databáze na portály DSL.sk.
http://update.dsl.sk/update/software.php?id=-1 UNION ALL SELECT 1,concat(database(),char(58,58),version(),char(58,58),user()),3,4,5,6,7,8,9
Ja som ešte dodatočne našiel chybu vedúcu k XSS, ktorá sa nachádzala vo vyhľadávacom formuláre. Chyby sú našťastie dávno opravené.

Komunikácia so spoločnosťou
Včera večer ma telefonicky kontaktoval pán Patrik Horník, s ktorým sme chyby a situáciu okolo nich prediskutovali.

Screenshoty ako POC

späť na obsah

InterStore s.r.o.

O spoločnosti
Spoločnosť InterStore prevádzkuje rovnomenný internetový obchod na adrese Interstore.sk.

Nájdené chyby
Na stránkach internetového obchodu sa mi podarilo nájsť dve chyby. SQL Injection a XSS. Ani jedna z nich doteraz bohužiaľ nie je odstránená i napriek môjmu emailu a aj napriek kladnej odpovedi. Dúfam, že spoločnosť čoskoro rázne zakročí pri odstraňovaní týchto chýb.

Komunikácia so spoločnosťou
Zo spoločnosti ma kontaktoval Peter Porubský, ktorý ma ubezpečil, že na odstránení chýb sa usilovne pracuje. Doteraz však všetky ohlásené chyby fungujú.

Screenshoty ako POC

späť na obsah

MITON CZ, s.r.o

O spoločnosti

Naše produkty potkáte na více místech, než-li byste čekali. Možná jste si stáhli nějaký program z našeho Stahuj.cz, uvařili nějakou dobrotu na Vaření.cz, navštívili některou ze stovek internetových prezentací vytvořených nebo spravovaných našimi odborníky a netušíte, že jste využili našich služeb. My to naštěstí vidíme a jsme rádi, že jsme vám mohli ulehčit vaši cestu k informacím a vrátit tak službu Internetu, který nám denně poskytuje nové podněty pro naši práci.

Zdroj: Miton.cz

Spoločnosť Miton cz je taktiež prevádzkovateľom niekoľkých internetových magazínov, ako napríklad Emag.cz.

Nájdené chyby
Na stránkach emag.cz som našiel chybu vedúcu k XSS vo formulári pre vyhľadávanie. Chyba bola veľmi podobná tej u spoločnosti Symbio, rovnaký postup ošetrenia.

Komunikácia so spoločnosťou
Zo spoločnosti ma kontaktoval pán Saša Doktor, ktorý bol vôbec prvý zo všetkých oslovených spoločností. V krátkej vete poďakoval za oznámenie chyby, ktorú okamžite odstránili.

Screenshoty ako POC

späť na obsah

Digital Visions, spol. s r.o.

O spoločnosti
Spoločnosť Digital Vision vydáva časopisy, ako napríklad PC Revue, Infoware a pod. Spolu s nimi prevádzkuje rovnomenné portály, založené na systéme Buxus spoločnosti ui42.

Nájdené chyby
Na stránkach pcrevue.sk, respektíve všetkých stránkach, ktoré fungujú na systéme buxus som našiel chybu vedúcu k XSS vo formulári pre vyhľadávanie. Chyba bola okamžite odstránená na všetkých portáloch.

Komunikácia so spoločnosťou
Zo spoločnosti ma kontaktoval pán Martin Drobný, ktorý bol ústretový a za nájdenú chybu poďakoval.

Screenshoty ako POC

späť na obsah

Slovak Telekom

O spoločnosti
Spoločnosť Slovak Telekom nie je potrebné predstavovať.

Nájdené chyby
Na stránkach t-com.sk som našiel chybu vedúcu k XSS vo vyhľadávacom formulári. Chybu ošetrili grandiózne, teraz sa po zadaní nepovoleného znaku zobrazí namiesto výsledkov vyhľadávania chybová stránka, ktorá informuje o nesprávnom použití vyhľadávania.

Komunikácia so spoločnosťou
Zo spoločnosti ma telefonicky oslovil kamarát, ktorý sa o chybe dozvedel aj napriek tomu, že bol na dovolenke. Týmto sa mu chcem ospravedlniť, že som mu znepríjemnil dovolenkovú lyžovačku.

Screenshoty ako POC

späť na obsah

Netcentrum SK, s.r.o.

O spoločnosti
Spoločnosť Netcentrum SK prevádzkuje portál Centrum.sk a niekoľko ďalších portálov.

Nájdené chyby
Na portáloch zena.centrum.sk a webkucharka-maggi.centrum.sk sa nachádzali chyby vedúce k XSS vo vyhľadávacom formuláre.

Komunikácia so spoločnosťou
Zo spoločnosti Netcentrum.sk ma kontaktoval pán Ján Urbančík (email bol bez diakritiky), ktorý za chyby poďakoval a potvrdil ich odstránenie.

Screenshoty ako POC

späť na obsah

ESET, spol. s r.o

O spoločnosti

Spoločnosť ESET, založená v roku 1992, je svetovým výrobcom bezpečnostného softvéru pre firemnú klientelu a domácnosti a venuje sa celosvetovému boju proti vznikajúcim počítačovým hrozbám. Je lídrom na trhu proaktívnej detekcie počítačových hrozieb.

Zdroj: Eset.sk

Nájdené chyby
Na stránkach som našiel jednu z najzávažnejších SQL Injection, aké sa mi dodnes podarilo nájsť. Bohužiaľ chyba nie je odstránená a tak nie je možné podať o nej podrobnosti.

Komunikácia so spoločnosťou
Zo spoločnosti ma kontaktoval pán Pavol Luka, ktorý potvrdil chybu a jej skoré odstránenie. Bohužiaľ, email ktorý som napísal na centrálny email (press@eset.sk) spoločnosti pravdepodobne nikto nezaregistroval a tak až po osobnom zásahu (kontakt vrámci známostí v piatok večer) bol email akceptovaný.

Screenshoty ako POC

späť na obsah

ONEE MEDIA s.r.o.

O spoločnosti
Spoločnosť prevádzkuje internetový obchod Mojshop.sk a taktiež poskytuje CMS vrátane internetové obchodu pod názvom WEBMagic.

Nájdené chyby
Na stránkach obchodu Mojshop.sk som našiel niekoľko chýb vedúcich k XSS. Chyby vedúce k XSS sa mi rovnako podarilo odhaliť na portály Dieta.sk spolu so závažnou SQL Injection. Pravdepodobne všetky portály založené na systéme WEBMagic boli/sú postihnuté.

Komunikácia so spoločnosťou
Bohužiaľ, spoločnosť na môj email nereagovala. Chyby sú opravené, pravdepodobne im však nestála za to sa unúvať poďakovať mi a ani ma kontaktovať. Internetový obchod Mojshop.sk sledujem dlhšiu dobu (viac ako rok) a za tú dobu poznám niekoľko závažných chýb obchodu, ktoré by mohli znamenať potencionálne riziko. Pri tomto prístupe sa však nemôže spoločnosť čudovať, ak ju nabudúce nikto (ani ja) neupozorní na bezpečnostné chyby na ich portáloch, alebo portáloch, kde je nasadený ich CMS.

Screenshoty ako POC

späť na obsah

Springer Media CZ, s. r. o.

O spoločnosti
Spoločnosť Springer Media CZ vydáva niekoľko populárnych časopisov ako AutoMobil, či Trucker. Taktiež prevádzkuje webový portál Automotorevue.cz.

Nájdené chyby
Stránky obsahujú závažnú chybu umožňujúcu využiť SQL Bypass, pomocou ktorého je možné získať jednoduchý prístup do konta ktoréhokoľvek užívateľa. Bohužiaľ, spoločnosť na môj email neodpovedala a tak nie je možné chybu bližšie popísať. Snáď vám budú stačiť screenshoty.

Komunikácia so spoločnosťou
Spoločnosť dodnes neodpovedala na môj email. Kompetentní zo spoločnosti ma môžu kedykoľvek kontaktovať na môj email (email domény).

Screenshoty ako POC

späť na obsah

Kvety.sk s.r.o.

O spoločnosti

Spoločnosť Kvety.sk, s.r.o. je mladá a dynamicky sa rozvíjajúca firma v oblasti internetového obchodovania. Prevádzkuje internetový portál www.kvety.sk a poskytuje donáškový servis kvetov a darčekov v rámci Slovenskej republiky a okolitých krajín.
Počas svojej existencie sa spoločnosť stala lídrom v doručovaní kvetov v Slovenskej republike a v poslednom období sa čoraz viac presadzuje aj na trhoch okolitých krajín ako je Česká republika, Maďarsko a Poľsko. Našou prednosťou je vysoká kvalita doručovaných kytíc a poskytovaný servis, ktorý sa snažíme neustále vylepšovať.

Zdroj: Kvety.sk

Nájdené chyby
Na stránkach Kvety.sk sa mi podarilo nájsť niekoľko chýb vedúcich k XSS. Taktiež sa mi podarilo nájsť SQL Dump voľne prístupný komukoľvek so znalosťou miesta, kde sa nachádza. Chyby neboli dodnes odstránené.

Komunikácia so spoločnosťou
Napriek mojej veľkej snahe sa mi nepodarilo ani doručiť email, server hlásil chybu: mailbox is full: retry timeout exceeded
Kompetentní zo spoločnosti ma môžu kedykoľvek kontaktovať na môj email (email domény).

Screenshoty ako POC

späť na obsah

Azet.sk, a.s.

O spoločnosti

Portál Azet je najnavštevovanejšou stránkou slovenského internetu. Navštívi ho viac ako 500.000 užívateľov za deň.
Azet je portálom, kde je vždy najviac ľudí – počas dňa je prihlásených v danej chvíli viac ako 50.000 ľudí. Najviac času strávia užívatelia na portáli Azet – až 421 minút za mesiac.

Zdroj: Azet.sk

Nájdené chyby
Podarilo sa mi odhaliť niekoľko chýb vedúcich k XSS vo formulári pre vyhľadávanie, formulári pre prihlásenie a v horoskopoch.

Komunikácia so spoločnosťou
Spoločnosť sa neunúvala odpovedať a ani poďakovať za môj email, chyby sú však opravené, čo znamená, že ho kompetentní dostali a čítali. Ďalšia z tých spoločností, ktorá nemôže do budúcnosti počítať s akoukoľvek pomocou.

Screenshoty ako POC

späť na obsah

Neris, s.r.o.

O spoločnosti

Vítejte na stránkách společnosti Neris, agentury ČTK pro internet a nová média. Hledáte-li bránu do světa informací, klíč k rychlému a především spolehlivému zpravodajství z důvěryhodného zdroje, pak jste na správné adrese.
Jsme největším poskytovatelem obsahu pro mobilní zařízení v České republice, naše služby využívají všichni tři mobilní operátoři.
Jsme jediní, kdo vám může zprostředkovat zpravodajství České tiskové kanceláře (ČTK) na vaše internetové stránky.
Jsme vydavatelem tří populárních zpravodajských internetových novin, kterými jsou České noviny, Sportovní noviny a Finanční noviny.

Zdroj: Neris.cz

Nájdené chyby
Na stránkach všetkých troch prevádzkovaných portálov som objavil chyby vedúce k XSS a zároveň SQL Injection. Spoločnosť dodnes na email nereagovala, preto nemôžem poskytnúť podrobnosti o chybách.

Komunikácia so spoločnosťou
Spoločnosť dodnes neodpovedala na môj email. Kompetentní zo spoločnosti ma môžu kedykoľvek kontaktovať na môj email (email domény).

Screenshoty ako POC

späť na obsah

UPC BROADBAND SLOVAKIA, s.r.o.

O spoločnosti

UPC BROADBAND SLOVAKIA, s.r.o. patrí medzi vedúce spoločnosti na Slovensku, poskytujúce služby televízie, širokopásmového internetu a telefónie. Je taktiež „triple play“ operátorom, čo znamená, že poskytuje služby televízie, internetu a telefónie prostredníctvom jednej siete, cez jednu zásuvku v domácnosti. Od septembra tohto roku spoločnosť UPC BROADBAND SLOVAKIA ponúka aj služby digitálnej káblovej televízie. UPC BROADBAND SLOVAKIA je súčasťou spoločnosti Liberty Global, Inc. (NASDAQ: LBTYA, LBTYB).

Zdroj: UPC.sk

Nájdené chyby
Chybu vedúcu k XSS som našiel na stránkach Chello.sk. Chyba dodnes nebola odstránená.

Komunikácia so spoločnosťou
Spoločnosť dodnes neodpovedala na môj email. Kompetentní zo spoločnosti ma môžu kedykoľvek kontaktovať na môj email (email domény).

Screenshoty ako POC

späť na obsah

Atlas.sk

O spoločnosti
Spoločnosť Atlas a.s. prevádzkuje rovnomenný portál Atlas.sk a mnoho ďalších, ako napríklad referaty.atlas.sk.

Nájdené chyby
Chybu vedúcu k XSS som našiel na stránkach referaty.atlas.sk.

Komunikácia so spoločnosťou
Spoločnosť sa neunúvala odpovedať a ani poďakovať na môj email, chyby sú však opravené, čo znamená, že ho kompetentní dostali a čítali. Ďalšia z tých spoločností, ktorá nemôže do budúcnosti počítať s akoukoľvek pomocou.

Screenshoty ako POC

späť na obsah

Zoznam, s.r.o.

O spoločnosti
Spoločnosť zoznam nie je treba predstavovať, prevádzkuje u nás jeden z najstarších a najväčších portálov.

Nájdené chyby
Našiel som chyby vedúce k XSS na portály bleskovky.sk a slovnik.zoznam.sk. Chyby neboli dodnes odstránené.

Komunikácia so spoločnosťou
Spoločnosť dodnes neodpovedala na môj email. Kompetentní zo spoločnosti ma môžu kedykoľvek kontaktovať na môj email (email domény).

Spoločnost Zoznam, s.r.o. ako jediná obdržala môj email až v piatok podvečer, kvôli chybe s emailovým filtrom na hostingu. Spoločnosti sa týmto dodatočne ospravedlňujem.

Screenshoty ako POC

späť na obsah

Zhodnotenie

Ako môžete vidieť, ani najväčšie spoločnosti sa nevyhnú bezpečnostným chybám. Ako som už povedal v úvode, dôležité je, ako promptne a akým spôsobom spoločnosť zareaguje. Ak sa spoločnosť postaví problému chrbtom, môže dopadnúť ako nedávno MySpace. Ak sa spoločnosť postaví chrbtom osobe, ktorá chyby oznámi, nabudúce môže práve tá osoba byť zodpovedná za poškodenie spoločnosti ako určitý spôsob odplaty. Týmto som nechcel povedať, že keď mi niekto “nepohladká” ego, nabudúce mu zmažem web. Chcem povedať, že najdôležitejšia je korektnosť. Mnoho spoločností ma milo prekvapilo svojím prístupom. Je vidieť, že aj u nás sa nájdu takí, ktorým nie je ľahostajná bezpečnosť svojich zákazníkov/užívateľov a bojujú za svoje dobré meno. Pevne verím, že tento článok bude slúžiť ako výstraha ostatným spoločnostiam, že aj oni sa môžu stať obeťami, ak nebudú dbať na dostatočné zabezpečenie. Šikovných mladých ľudí, alebo spoločností, ktoré sa zaoberajú testovaním aplikácií (serverov, portálov, webových aplikácií, atď.) je dostatok. Je lepšie investovať korunku do nich, ako mnohonásobne väčšie sumy do odstraňovania následkov. A jedno si aj tak nekúpite. Svoje meno. Možno dnes ešte nie je dostatok konkurencie na Českom a Slovenskom trhu, ale blížime sa míľovými krokmi k stavu, kedy si bude môcť zákazník vybrať z množstva ponúk a potom je už neskoro bojovať za dobrú značku.

späť na obsah

Záver

Posúdiť výsledky testu nechám na vás. Ja za seba môžem povedať, že som sa dodnes s dobre zabezpečenou stránkou nestretol (teda u nás, Google sem neťahajme). Spoločnosti už plne chápu význam bezpečnosti, avšak nie dôsledky dopadu útokov. Samo sme.sk okúsilo tvrdý zásah, keď bolo DDoS-ované dva dni. Vtedy sa bojovalo “o holú existenciu”. Nefungujúci portál je portálom bez zárobkov. Podobný osud môže postihnúť kohokoľvek. Nie je však správne vytvárať vhodné podmienky útočníkom. Niekoľko spoločností, ktoré boli v teste opísané, mohli nepekne dopadnúť, keby boli ich SQL Injection, alebo XSS zneužité. Je treba sa zamyslieť nad touto hrozbou a postaviť sa jej čelom. To je pre dnes asi všetko, článok som písal niekoľko hodín a som z neho celkom nepríjemne vyčerpaný. Budem rád, ak sa so mnou podelíte o názor v diskusii. Taktiež by som chcel ohlásiť veľký test bezpečnosti Slovenských a Českých bánk, ktorý plánujem uverejniť odo dnes do týždňa.

späť na obsah