Эта история о том, как я нашел уязвимость в фреймворке Webasyst и, в частности, в ecommerce-движке Shop-Script 7.
Все началось с того, что вечером я решил приобрести мерч русскогоязычного рэп-исполнителя. После оплаты мне пришло письмо, содержащее ссылку на детали моего заказа:
(примечание: ID заказа был видоизменен для публикации)
В глаза сразу бросился идентификатор заказа, встречающийся в середине строки хеша:
9fe684d6508769ef213111ed917d1cce94088
Мне стало интересно, как генерируется эта строка, а для этого нужно было взглянуть на исходники движка. Изучив html source страницы, я узнал какой движок используется в магазине, а немного погуглив нашел где его скачать.
Изучаем исходники
Оказалось, что данная строка генерируется случайно и никакой закономерности не прослеживается. Но волею случая, пока я искал функцию отвечающую за этот хеш, я наткнулся на довольно любопытные участки кода.
Популярный способ взлома любого роблокс аккаунта оказался обманом!
wa-system/contact/waContact.class.php
Функция save($data, $validate) — осторожно, много кода!
Параметр $data содержит данные в формате ‘название поля’ => ‘значение поля’, в функции я не заметил защиты от Mass Assignment, но не исключал, что фильтрация аргумента происходит до вызова самой функции. Мне стало лениво просматривать все места в коде, где вызывается save() и я решил проверить теорию экспериментальным путем.
Установив на локалку движок, первым делом я решил посмотреть структуру таблицы `wa_contact`.
Структура таблицы `wa_contact`
Чтобы пользователь имел доступ к админ-панели (в движке она называется «бэкэндом») у покупателя должны быть заданы поля `login`, `password`, а поле `is_user` должно быть равно 1.
Тестируем
Добавляем товар в корзину, переходим на страницу оформления заказа, заполняем стандартные поля… и самое время добавить новые:
Отправляем запрос, пробуем зайти с нашими данными в админку (/wa/webasyst/). Авторизация проходит успешно, но… страница админки совершенно пустая: у нас нет никаких прав. Судорожно ищу поле в таблице, отвечающее за права доступа и понимаю, что такого поля нет, а все права как и подобает вынесены в отдельную таблицу.
Я уже почти смирился с фиаско, пока не заметил, что таблица `wa_contact_rights` содержит права для пользователей по id и для групп по id со знаком минус. В голову сразу же пришла идея присвоить нашему пользователю отрицательный id, тем самым получив права группы. Сказано – сделано, меняем customer[id] на -1 по аналогии с тем, как мы меняли остальные параметры ранее. Опять авторизуемся в админке и получаем все права, которые доступны группе «Администраторы».
КАК ВЗЛОМАТЬ ЛЮБОГО ЧЕЛОВЕКА РОБЛОКС 100% СПОСОБ (КРОМЕ РАЗРАБОТЧИКОВ)
Что имеем в итоге
Уязвимость, позволяющую на любом сайте на этом фреймворке, в любом интернет-магазине на этом движке получить полные права администратора, которые в свою очередь позволяют, например, получить конфединциальную информацию обо всех заказах и покупателях, менять статус заказов (скажем, помечать их оплаченными) и просто изменять настройки веб-сайта.
Условий для использования уязвимости нет, она работает и при отключенной регистрации на сайте (в действительности при оформлении заказа регистрация все же происходит).
По данным PublicWWW более 17 000 сайтов используют данный фреймворк.
Об уязвимости было сообщено более двух месяцев назад, сайты обновились и никто не пострадал.
8 августа, 22:30 – купил футболку
9 августа, 08:00 – сообщил об уязвимости Webasyst, прикрепил видео с Proof of Concept
9 августа, 13:00 – получил подтверждение от службы поддержки
14 августа – получил вознаграждение, уязвимость была закрыта
11 сентября – получил добро на публикацию данной статьи
- уязвимость
- mass assignment
- privilege escalation
- webasyst
- bug bounty
Источник: habr.com
Не работает три дня подряд: хакеры взломали сайт и приложение РЖД
Пользователи сервисов РЖД жалуются, что уже третий день не могут купить билеты на сайте или через приложение перевозчика. Всё это время компания приносила клиентам извинения и предлагала «обратиться к сервисам позднее».
— А это вообще нормально, что в стране уже 3 дня подряд не работает сайт основного перевозчика? — задает вопрос в официальном сообществе РЖД во «ВКонтакте» пользователь Андрей Мельников.
При попытке зайти на сайт РЖД сообщается, что сервер не может обработать запрос.
При этом пользователи из некоторых регионов говорили, что у них «прекрасно всё работает», но сегодня в РЖД официально заявили: сайт и приложение компании атаковали хакеры.
— Наш сайт и мобильное приложение подверглись массированной хакерской атаке. Стараемся как можно быстрее восстановить их работу, — прокомментировали ситуацию в РЖД.
Точных сроков, когда восстановится работа сайта и приложения в РЖД, не называют и говорят, что билеты можно купить только в кассах.
— Кассы на станциях и вокзалах функционируют штатно, продажа билетов осуществляется в обычном режиме, — говорится в сообщении перевозчика.
Источник: msk1.ru
Не работает три дня подряд: хакеры взломали сайт и приложение РЖД
Пользователи сервисов РЖД жалуются, что уже третий день не могут купить билеты на сайте или через приложение перевозчика. Всё это время компания приносила клиентам извинения и предлагала «обратиться к сервисам позднее».
— А это вообще нормально, что в стране уже 3 дня подряд не работает сайт основного перевозчика? — задает вопрос в официальном сообществе РЖД во «ВКонтакте» пользователь Андрей Мельников.
При попытке зайти на сайт РЖД сообщается, что сервер не может обработать запрос.
При этом пользователи из некоторых регионов говорили, что у них «прекрасно всё работает», но сегодня в РЖД официально заявили: сайт и приложение компании атаковали хакеры.
— Наш сайт и мобильное приложение подверглись массированной хакерской атаке. Стараемся как можно быстрее восстановить их работу, — прокомментировали ситуацию в РЖД.
Точных сроков, когда восстановится работа сайта и приложения в РЖД, не называют и говорят, что билеты можно купить только в кассах.
— Кассы на станциях и вокзалах функционируют штатно, продажа билетов осуществляется в обычном режиме, — говорится в сообщении перевозчика.
Источник: 161.ru