ČSSD používá heslo xxx
Zdroj: SOOM.cz [ISSN 1804-7270]Autor: Emkei
Datum: 6.11.2009
Hodnocení/Hlasovalo: 1.24/280
Strana ČSSD si se zabezpečením svých nových webových stránek velkou hlavu nedělá. Vedle zranitelností typu XSS, SQL Injection a Full Path Disclosure lze narazit i na velmi směšné heslo do databáze, které by navíc nebyl problém uhádnout. Hádat ovšem vůbec nemusíte, stačí navštívit oficiální stránky této politické strany a ty Vám heslo sdělí dobrovolně, a to bez jakýchkoli nelegálních útoků.
Člověk s nickem Palach mi včera e-mailem reportoval zajímavou chybu na oficiálních volebních stránkách ČSSD, díky níž lze zobrazit vedle jiných citlivých dat i přihlašovací údaje do tamní databáze. Zranitelnost je o to zajímavější, že k její vyvolání není třeba provádět žádný sofistikovaný útok, postačí navštívit jednu ze stránek a nepředat jí kompletní parametry, viz následující ukázka:
Výstupem uvedené stránky je chybový log obsahující mj. přihlašovací údaje do PostgreSQL databáze. Administrátoři daného systému se očividně nepoučili z kauzy slovenského NBU, jehož systém byl chráněn heslem nbusr123, a pro přihlášení do databáze zvolili heslo xxx, viz přiložený výřez chybového logu a jeho částečný screen:
[connection] => Resource id #14
[dsn] => Array
(
[phptype] => pgsql
[dbsyntax] => pgsql
[username] => postgres
[password] => xxx
[protocol] =>
[hostspec] => localhost
[port] => 5431
[socket] =>
[database] => socdem_volby_cssd
)
Nejen, že zvolili nedostatečně silné heslo a nevypnuli error reporting na ostrém serveru, čímž umožnili docílit tzv. Full Path Disclosure, navíc lze na serveru dosáhnout SQL Injection, a to rovnou v uvedeném parametru root_id, viz neškodná ukázka:
http://volby.cssd.cz/scripts/kalendar.php?root_id=1'O všudypřítomné non-persistentní XSS už se snad ani nemá cenu zmiňovat, jedna za všechny:
http://volby.cssd.cz/scripts/<script>alert(123)</script>Heslo složené ze tří písmen x, které ve světě Internetu zastupuje výraz porno, by pravděpodobně čekal u oficiálního webu politické strany málokdo…