Главное Свежее Вакансии Образование
0 18 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Уязвимости 2CALLS - Разбор Полетов

Сегодня под прицелом сайт сервиса увеличения конверсии и звонков с сайта 2CALLS.Межсайтовый скриптинг, кликджекинг, кража личных данных клиентов и многие другие уязвимости сервиса внутри статьи.

b_55ad3c19e487b.jpg

Ну пожалуй начнем, так как это первая статья в нашей рубрике "Разбор Полетов" мы хотели бы заранее пояснить что эта и последующие статьи будут писаться лишь для ознакомительных целей, так как серьезные уязвимости встречаются сплошь и рядом и по нашему мнению вы должны знать где они присутствуют и в последствии обезопасить свои сайты от подобной участи, а не для целей взлома или что-бы помешать работе сервиса.

Итак, первая и одна из самых страшных уязвимостей сервиса 2CALLS в том что есть один файл (который мы вам не покажем по объективным причинам) в данном сервисе который подвержен межсайтовому скриптингу (Cross site scriptin) (XSS), разберем по подробнее данную уязвимость.

1.Cross site scripting (XSS) - Межсайтовый скриптинг

Данная уязвимость призвана к внедрению вредоносного кода или кода отслеживание действий, в исходный код сайта.

Классификаций данной уязвимости бесчисленное множество, но мы как и википедия хотели бы выделить три основные:

a) Отражённые (Непостоянные) - это наиболее распространенный тип атаки, когда пользователь переходит по ранее заготовленной ссылке и совершает некое действие что может повлечь за собой выполнение скрипта, и например в отношении данного сервиса отправить "хакеру" все свои записи телефонных разговоров, номера телефонов клиентов, и многую другую коммерческую информацию компании данные которой хранятся на данном сервисе.

б) Хранимые (Постоянные) - а вот этот тип наиболее опасный тем что вредоносный код внедряется на сервер и спокойно гуляет по всем файлам и папкам у которых права выше "644" (права файлов и папок), соответственно может повлечь за собой извлечение исходного кода, удаление и редактирование файлов, и в некоторых случаях получение доступа к Базе Данных.

в) DOM-модели - про данный вид писать много не будем, единственно что хотелось бы сказать что ему "по барабану" все равно какая платформа и язык программирования, он все равно сделает свое гадкое дело, а именно получить данные из HTML, XML и др. файлов на стороне клиента.

Итак казалось бы все худшие уже позади но придется ваc огорчить из данной уязвимости вытекает следующая это Clickjacking более подробно о ней вы можете почитать на хабре, мы же ограничимся лишь данным сервисом.

2.Clickjacking

Эта уязвимость может не только получить конфиденциальные данные пользователя на данном сайте но и получить доступ к компьютеру пользователя.

Атака через данную уязвимость происходит через iFrame, Заголовок X-Frame-Options позволит полностью или частично ограничить загрузку ресурсов в iFrame (что честно говоря сделать довольно трудно, но вполне возможно) и показывать пользователю то что мы хотим показывать, например представьте вы хотите оплатить услуги сервиса 2CALLS, и вы вроде их оплачиваете, но на самом деле вам только так кажется, так как оплата может пройти совсем не в "Робокассу", а мимо нее.

Про остальные уязвимости сервиса мы много писать не будем ограничимся лишь их перечислением, так как они не столько серьезны как первые две, итак это:

  • Небезопасной переход от HTTP, к HTTPS.
  • Пароль передается методом GET запроса.
  • Включено автозаполнение пароля.

Более подробный отчет сервис 2CALLS может получить прислав нам запрос на почту miralabsgroup@gmail.com или оставив заявку на нашем сайте security.miralabs.ru.

Аналитика

Давайте подробнее рассмотрим сколько клиентов данного сервиса могут пострадать,как пишет сам 2CALLS на момент написания этой статьи к сервису подключено 4153 сайта, трафик по данным Similar Web за последние полгода сайт посетило в районе 240 000 человек, неплохо для сервиса довольно узкой специализации.

Средний чек в месяц исходя из тарифов сервиса приблизительно 13 500 рублей а теперь считаем 4153 сайта * 13 500 руб. = 56 065 500 руб. месячный оборот.

При таком обороте по моему пора задуматься о безопасности своих клиентов.

Выводы

Итак как мы и обещали теперь мы оценим безопасность сайта по шкале критичности от 1 до 10.Чем больше цифры тем хуже.

Безопасность для клиентов - скажем так что данные уязвимости применить довольно сложно в рамках данного сервиса, но в тоже время в случае их применения они несут довольно тяжелый удар как по самому сервису так и по клиентам поэтому оценка

b_55ad36d823711.jpg

Безопасность и сохранность платежей - если бы такая уязвимость как Clickjacking не присутствовала бы на данном сервисе мы бы более благосклонно отнеслись к нему, но ввиду того что оплата происходит через "Робокассу" оценка стала немного лучше поэтому мы ставим

b_55ad3857ea30a.jpg

Общая оценка Безопасности с учетом меньших уязвимостей

b_55ad3990e8210.jpg

p.s.Если вы думаете что уязвимостей нет на вашем сайте вы скорее всего глубоко ошибаетесь, подумайте о своем бизнесе и своих клиентах.

Данная статьи написана исключительно в ознакомительных целях.

b_55ad3ae81b802.jpg

С уважением команда Miralabs Security

miralabsgroup@gmail.com

Наш твиттер @MiraSecurity

+1
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
shubalab
Агентство продающего дизайна
Maxim Gordienok
Ожидал найти в статье хотя бы описание уязвимостей, найденных на сайте. Но ничего не нашел. Еще и запутался даже:

1) "если бы такая уязвимость как Clickjacking не присутствовала бы на данном сервисе мы бы более благосклонно отнеслись к нему, но ввиду того что оплата происходит через "Робокассу" оценка стала немного лучше поэтому мы ставим"

Тут я просто ничего не понял. То мы бы отнеслись благосклоннее, но потом и отнеслись благосклоннее

2) "Итак как мы и обещали теперь мы оценим безопасность сайта по шкале критичности от 1 до 10.Чем больше цифры тем хуже."

Т.е. судя по оценкам (9 и 7) на сайте все плохо. Верно?

А так тема важная и полезная, конечно же.
Ответить
Start {Code}
Интерактивные курсы по программированию
Валько Ярослав
Доброй ночи, что касается первого вопроса дело в том что в данном сервисе присутствует Clickjacking, но оплата на нем происходит через перенаправление на "Робокассу".Поэтому данный механизм оплаты усложняет получение каких либо платежных данных и произведение "липовой" оплаты.

Касательно второго вопроса, да тут чем выше цифра тем критичней уязвимости, как для клиентов так и для самого сервиса.

Ваши замечания касательно описания уязвимостей мы обязательно учтем при написании следующей статьи.
Ответить
shubalab
Агентство продающего дизайна
Maxim Gordienok
Но я все равно не очень понял: вы нашли уязвимости и указали на них создателям сервиса или это просто теоретическое исследование и том, что это может быть.

Если цифры указывают на критичность для пользователей тех или иных уязвимостей, то как понять по этой шкале обычным пользователям уязвим ли сайт?
Ответить
Start {Code}
Интерактивные курсы по программированию
Валько Ярослав
Это конкретные уязвимости которые были выявлены в ходе анализа сайта, и также в статье описано какими методами эти уязвимости могут быть применены в отношении данного сервиса.

Что касательно того к каким файлам данного сайта применить найденные уязвимости мы писать не стали так как это может повлечь за собой сбой в работе сервиса, а то и прекращение его работы.

Цифры указывают на критичность безопасности сервиса как для него самого него так и соответственно для клиентов.
Ответить
shubalab
Агентство продающего дизайна
Maxim Gordienok
Поясните, что это за параметр "критичность безопасности сервис"? Не понял.

Вот безопасность сервиса по шкале от 1 до 10 - это понятно. Это я предложение по упрощению текста статей на будущее. А то интересный материал разбиваются о сложную формулировку или понятия.

А создателям сервиса написали где уязвимости были обнаружены?
Ответить
Start {Code}
Интерактивные курсы по программированию
Валько Ярослав
Критичность безопасности сервиса - это параметр который указывает на сколько сайт не безопасен с той или иной точки зрения.

Создатели сервиса к сожалению пока с нами не связывались.
Ответить
shubalab
Агентство продающего дизайна
Maxim Gordienok
Видите, Ярослав, Вам пришлось мне объяснять свой текст. А ведь можно быть этого избежать.
Ответить
Start {Code}
Интерактивные курсы по программированию
Валько Ярослав
В будущем постараемся избежать этого, более доходчиво формулируя основные тезисы.
Ответить
shubalab
Агентство продающего дизайна
Start Fellows
Программа ВКонтакте по поддержке стартапов
Start {Code}
Интерактивные курсы по программированию
Валько Ярослав
Завтра ждите еще статью)
Ответить
Симулятор бизнес-процессов
Сервис имитационного моделирования и оптимизации бизнес-процессов
Prolis Labkk
Без приведения фактов, примеров и методов защиты статья похожа на фантазию. Я тоже могу оголтело заявить, что на вашем сайте "SQL-инъекции", "Register Globals" и "XSS" - все плохо и живите с этой информацией как хотите.
Раздел с аналитикой ещё хуже. Данные симулярвеба надо делить раз в 5. Количество подключенных сильно не равно количеству платящих. Да и вообще непонятно, зачем выпопытались посмотреть в чужой карман в статье про безопасность.
Ответить
Start {Code}
Интерактивные курсы по программированию
Валько Ярослав
Мы писали о том что подробный отчет предоставим лично компании "2Calls", так как если это опубликовать здесь, то можно навлечь проблемы на компанию и их клиентов.

В будущих статьях мы конечно попытаемся демонстрировать уязвимости более наглядно, но так что бы они не мешали работе компании и не навредили клиентам.

Что касается вашей фразы "посмотреть в чужой карман", это было сделано для того чтобы показать чем в данном случае рискует компания и клиенты, - показать масштабы проблемы.

Да и касательно методов защиты мы об этом писать не будем так как практически каждый случай является частным и как мы писали в нашей первой статье этой тематики http://spark.ru/startup/miralabs/blog/10191/gajd-po-bezopasnosti-sajta
то что не существует универсального способа защиты, есть лишь общие рекомендации.
Ответить
Симулятор бизнес-процессов
Сервис имитационного моделирования и оптимизации бизнес-процессов
Prolis Labkk
Как это делается на Хабре:
-находится уязвимость
-уведомляются владельцы
- владельцы исправляют уязвимость
- хороший пост со скриншотами и ассистентками
....
-PROFIT!
Ответить
Start {Code}
Интерактивные курсы по программированию
Валько Ярослав
Мы не на Хабре.
И пока владельцы будут ее устранять, может пройти целая вечность.
Но в любом случае спасибо, в следующей статье мы учтем ваши комментарии.
Ответить
Иван Бабкин
Ого. Однако. Не ожидали от конкурентов подобного. Интересно, это единичный случай в SaaS, или поголовный?
Ответить
Start {Code}
Интерактивные курсы по программированию
Валько Ярослав
Без анализа всех подобных сервисов трудно сказать.
Ответить
Pavel Davydov
Оборот компании точно не соответствует действительности. 54 млн слишком много для клона, даже у оригинала такого оборота нет.
Полагаю, 4000 - это все сайты, которые когла-либо были зарегистрированы, а то и вообще цифра с потолка.
А средний чек никогда не равен средней цифре среди тарифов.

Оборот на порядок меньше, до 5 млн. Скорее даже в районе 2 млн.
Ответить
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.