Уязвимости 2CALLS - Разбор Полетов
Ну пожалуй начнем, так как это первая статья в нашей рубрике "Разбор Полетов" мы хотели бы заранее пояснить что эта и последующие статьи будут писаться лишь для ознакомительных целей, так как серьезные уязвимости встречаются сплошь и рядом и по нашему мнению вы должны знать где они присутствуют и в последствии обезопасить свои сайты от подобной участи, а не для целей взлома или что-бы помешать работе сервиса.
Итак, первая и одна из самых страшных уязвимостей сервиса 2CALLS в том что есть один файл (который мы вам не покажем по объективным причинам) в данном сервисе который подвержен межсайтовому скриптингу (Cross site scriptin) (XSS), разберем по подробнее данную уязвимость.
1.Cross site scripting (XSS) - Межсайтовый скриптинг
Данная уязвимость призвана к внедрению вредоносного кода или кода отслеживание действий, в исходный код сайта.
Классификаций данной уязвимости бесчисленное множество, но мы как и википедия хотели бы выделить три основные:
a) Отражённые (Непостоянные) - это наиболее распространенный тип атаки, когда пользователь переходит по ранее заготовленной ссылке и совершает некое действие что может повлечь за собой выполнение скрипта, и например в отношении данного сервиса отправить "хакеру" все свои записи телефонных разговоров, номера телефонов клиентов, и многую другую коммерческую информацию компании данные которой хранятся на данном сервисе.
б) Хранимые (Постоянные) - а вот этот тип наиболее опасный тем что вредоносный код внедряется на сервер и спокойно гуляет по всем файлам и папкам у которых права выше "644" (права файлов и папок), соответственно может повлечь за собой извлечение исходного кода, удаление и редактирование файлов, и в некоторых случаях получение доступа к Базе Данных.
в) DOM-модели - про данный вид писать много не будем, единственно что хотелось бы сказать что ему "по барабану" все равно какая платформа и язык программирования, он все равно сделает свое гадкое дело, а именно получить данные из HTML, XML и др. файлов на стороне клиента.
Итак казалось бы все худшие уже позади но придется ваc огорчить из данной уязвимости вытекает следующая это Clickjacking более подробно о ней вы можете почитать на хабре, мы же ограничимся лишь данным сервисом.
2.Clickjacking
Эта уязвимость может не только получить конфиденциальные данные пользователя на данном сайте но и получить доступ к компьютеру пользователя.
Атака через данную уязвимость происходит через iFrame, Заголовок X-Frame-Options позволит полностью или частично ограничить загрузку ресурсов в iFrame (что честно говоря сделать довольно трудно, но вполне возможно) и показывать пользователю то что мы хотим показывать, например представьте вы хотите оплатить услуги сервиса 2CALLS, и вы вроде их оплачиваете, но на самом деле вам только так кажется, так как оплата может пройти совсем не в "Робокассу", а мимо нее.
Про остальные уязвимости сервиса мы много писать не будем ограничимся лишь их перечислением, так как они не столько серьезны как первые две, итак это:
- Небезопасной переход от HTTP, к HTTPS.
- Пароль передается методом GET запроса.
- Включено автозаполнение пароля.
Более подробный отчет сервис 2CALLS может получить прислав нам запрос на почту miralabsgroup@gmail.com или оставив заявку на нашем сайте security.miralabs.ru.
Аналитика
Давайте подробнее рассмотрим сколько клиентов данного сервиса могут пострадать,как пишет сам 2CALLS на момент написания этой статьи к сервису подключено 4153 сайта, трафик по данным Similar Web за последние полгода сайт посетило в районе 240 000 человек, неплохо для сервиса довольно узкой специализации.
Средний чек в месяц исходя из тарифов сервиса приблизительно 13 500 рублей а теперь считаем 4153 сайта * 13 500 руб. = 56 065 500 руб. месячный оборот.
При таком обороте по моему пора задуматься о безопасности своих клиентов.
Выводы
Итак как мы и обещали теперь мы оценим безопасность сайта по шкале критичности от 1 до 10.Чем больше цифры тем хуже.
Безопасность для клиентов - скажем так что данные уязвимости применить довольно сложно в рамках данного сервиса, но в тоже время в случае их применения они несут довольно тяжелый удар как по самому сервису так и по клиентам поэтому оценка
Безопасность и сохранность платежей - если бы такая уязвимость как Clickjacking не присутствовала бы на данном сервисе мы бы более благосклонно отнеслись к нему, но ввиду того что оплата происходит через "Робокассу" оценка стала немного лучше поэтому мы ставим
Общая оценка Безопасности с учетом меньших уязвимостей
p.s.Если вы думаете что уязвимостей нет на вашем сайте вы скорее всего глубоко ошибаетесь, подумайте о своем бизнесе и своих клиентах.
Данная статьи написана исключительно в ознакомительных целях.
С уважением команда Miralabs Security
miralabsgroup@gmail.com
Наш твиттер @MiraSecurity