Бесплатный сыр только в мышеловке
Где-то год назад хостинг freehost.com.ua привлек меня сравнительно низкими тарифами. Во время пользования им возникали проблемы, вполне нормально решались через саппорт, все шло своим чередом. Но после того, с чем я столкнулся несколько дней назад, я просто не могу себе позволить на нем оставаться...
Время подходило к оплате хостинга ещё на год, я полез в админ-панель, чтобы посмотреть сколько там я должен. Совершенно случайно забрёл в панель управления субдоменами и там наткнулся на офигенную уязвимость, которую, на мой взгляд способен предусмотреть программист уровня ниже среднего. Как гвоорится, лучше 1 раз увидеть, чем 100 раз услышать, поэтому вашему вниманию предлагаются скриншоты (кликабельно, откроется в новом окне):
Скриншот №1:
Здесь видно, как в явном виде передается ID домена в ссылке и вызовах функций.
Скриншот №2:
Подменяем ID домена на какой-либо другой методом научного тыка.
Скриншот №3:
По нажатию ссылки, отмеченной в первом скриншоте, получаем список чужих сабдоменов...
Скриншот №4:
... и возможность их редактирования.
Вот такие вот дела. Но перейти на другой хостинг меня заставило не наличие бага, а отношение администрации хостинга к нему. Сразу после обнаружения, я сказал об этом саппорту по аське. Саппорт даже не поинтересовался в чём заключается уязвимость, а сказал, что нужно обращаться к ихнему главному в рабочий день, то бишь через 3 дня.
Ладно, через 3 дня я постучался в аську человеку, фамилия которого стоит под всеми счетами, которые присылает хостинг. Как бы высшая инстанция. Я показал скриншоты, на что был дан ответ, что об багах 1 и 2 они знают и тут ничего нельзя сделать(!), а за информацию об уязвимости 3 и 4 спасибо. В голове сразу возникло несколько вопросов, но задал я только один - как быстро вы собираетесь закрыть эту дыру безопасности, на что высшая инстанция ответила, что сегодня всё сделают.
В принципе, после этого мне стало всё понятно и я потихоньку начал сливать свои файлы с ихнего FTP и готовиться к переезду. Зайдя через 2 дня в админку я убедился в своих опасениях. Воз был всё там же. Тогда я стукнул в аське ещё раз и спросил почему же они не исправляют, на что был дан ответ, что исправят до конца месяца (оставалось 21 день до конца месяца).
Так и закончилась история моего сотрудничества с freehost.com.ua. А для тех, кому было лень смотреть скриншоты, а также для тех, кто не понимает в веб-программировании я могу сказать, что через эту уязвимость минимум, подчеркиваю ещё раз,минимум возможно положить на несколько часов все сайты их клиентов. Всех масштабов дыры я исследовать не стал - мне было достоточно и того, что я увидел невооруженным глазом.
Кроме того, могу сказать, что по моим примерным оценкам:
Написать скрипт, который сделал бы тот минимум и свалил всех их клиентов заняло бы: 3 часа;
Наскоро залатать дыру в админ-панели: 2 часа;
Восстановить все данные после атаки - минимум 1 сутки.
— Author: vanderLoos · 2008-01-10 17:12 · #
1нах
— Author: Сотомайор · 2008-01-11 12:21 · #
Это не удав, тут первым стать не сложно ;-)
— Author: Алена · 2008-01-31 17:32 · #
нда, нифига себе…
лучше пользоваться популярными зарубежными хостингами у которых сотни тысяч клиентов – они пользуют такие популярные панели как HSphere, Cpanel, Plesk – там если есть баги, то они по крайней мере не в системе безопасности.
да и цены не намного выше чем на наших, украинских
— Author: Сотомайор · 2008-01-31 19:45 · #
Лучше dedicated сервер иметь :-) Тогда кроме себя винить будет некого…
— Author: vedeney · 2008-02-13 19:08 · #
2Алена
Вот тут я с Вами категорически не соглашусь :) на самом деле с такими системами как HSphere, Cpanel, Plesk всё намного хуже. Я работал на фирме которая разрабатывала одну из названых систем :) и лично нарыл в система управление файлами не то что критическую, а ОЧЕНЬ ДАЖЕ критичискую уязвимость. Когда можно было редактировать любой файлик на в “соседних” акаунтах. Я не стал трезвонить на весь мир а только сообщил людям которые занимались разработкой. Последствия могли быть очень даже плачевные узнай о такой “фиче” те кому такое знать очень хочется :) Так что юзать системы с извесными багами бывает иногда даже опасней чем сапописные ;)
— Author: Евгений Шерман · 2008-04-05 22:14 · #
Автору сообщения приношу большую благодарность за столь активное участие в жизни нашей компании и найденную ошибку. Проблема была устранена через 3 дня после сообщения о ней.
Нужно заметить, что слабые места есть в любой панели управления, и вообще, в любом программном обеспечении, разве что “Hello world!” написан без ошибок. Наверное, поэтому выпускают обновления и патчи.
Справедливости ради нужно заметить, что была только возможность просмотра, при попытке изменить настройки возникала ошибка.
Тот, чья фамилия указана на счетах.
— Author: Сотомайор · 2008-04-05 22:55 · #
2 Тот, чья фамилия указана на счетах: Да ну, прямо таки только просмотра… На скриншоте чётко видно, что я добавил субдомен в чей-то аккаунт. Удалять не пробовал ибо это уже не смешно. Но что-то мне подсказывает, что если операция добавления работала, то удаление было доступно тоже )