Наглядный пример того к чему приводит пренебрежительное отношение к безопасности веб-сайтов.

И так, начну с того, что меня толкнуло на написание данной статьи (короткое оправдание))):

Придя на новое место работы, директор попросил написать какую то статью для блога нашей веб-студии, как известно: для СЕО :)

Думал-думал, что же написать и вдруг пришла в голову идея:

Напишу как раз историю того, что меня привело именно в эту веб-студию и как искал работу по своей специальности на протяжении пары месяцев, тем более все случилось довольно весело)).

И так как обычно при поиске работы идем на сайты вакансий.

За пару месяцев - масса отправок резюме в большие и малые компании. Результат- нулевой!

Думаю - может привести пример своей квалификации в резюме? Тем более при прочтении массы вакансий обнаружил что практически все сайты компаний предлагающих работу имеют уязвимость. Ну чтож... все мои резюме остались без ответа. И от больших и от малых компаний. Чтож, думаю, наверно нашли более подходящую и квалифицированную кандидатуру. Но что удивило: уже в течении месяца те уязвимости, которые были выявлены, до сих пор не исправлены. ОК! Раз такое дело, думаю компаниям абсолютно все равно - есть эти уязвимости или нет, ведь они были извещены об этом - а раз уязвимости не исправлены - значит они не против если мы немного поэксплуатируем их. Возьмем одну из крупных компаний Fozzy.ua

При написании резюме зашел на сайт Fozzy.ua проявив естественный профессиональный интерес к возможному месту работы. Естественный беглый аудит по безопасности сразу выявил SQL-injection:





о чем и было дополнительно сообщено в резюме с указанием ссылки благодаря которой узнаем имя БД, ее юзера, и ее версию:

unhex(hex(database())),unhex(hex(user())),unhex(hex(version())) - небольшие проблемы с кодировкой исправляют стандартные функции unhex и hex )






Результат немного разочарует скрипткидиса, но обрадует и возможно даже обнадежит хозяина сайта:

fozzy::fozzy@localhost::4.1.14

- Версия 4*.. мускула. Возможно это и было для хозяина данного сайта оправданием своего беззаботного отношения к безопасности. И зайдя через месяц на сайт вижу все то же сообщение об ошибке!

Но ведь люди склонны к логическому разбору полученных данных и если нет возможности прочесть те или иные данные то их можно подобрать!
Что естественно и дало правильный подбор нужной нам таблицы, а это - login

Чтож, дальше предстояла задача требующая подключить к логике еще и интуицию! Соответственно подобрали существующие и нужные нам столбцы в таблице login. Их я озвучивать не буду в этических целях.







И так мы получили имя пользователя и MySQL-хеш пароля. Стандартными средствами брутим хеш и получаем пароль. Осталось дело за малым (или за большим?:)) войти в админку:







и залить шелл. Залить оказалось еще проще чем подобрать столбцы. В итоге получили и вебшелл.

Что дальше? А что желаете: Вставляйте скрипты, берите рута (если хватит квалификации:)) вешайте бекдоры и етс. Тем более очень "сладкие вкусности" подготовил нам сисадмин настраивавший ОС - root директория доступна для чтения всем))))
Ну вот и все, на этом думаю можно пожелать:

Господа - будьте бдительны! :)

PS

После публикации данной статьи я еще раз уведомлю руководство компании о данной ошибке. Может они все же захотят устранить ее? :)


PPS

Описанная данная операция на ресурсе Fozzy.ua не привела к истоку, потере, подделке, блокированию информации, искажению процесса обработки информации и к нарушению установленного порядка ее маршрутизации.