К написанию данного материала меня подтолкнула недавняя дискуссия в твиттере на тему информационной безопасности между NTarakanov и @alukatsky. По сути весь флейм сводился к тому, что «бумажные» аудиторы сидят в штабе и cгущенку хомячат, а простые пацаны себе на IDA заработать не могут.
Мало кто знает, но сейчас проходит V Юбилейный Уральский форум «Информационная безопасность банков»
На этом форуме собрались ветераны информационной безопасности для обсуждения важных вопросов. Однако, король-то сам голый. Подробности под катом.
Итак, поехали. На самом сервере расположены следующие сайты по ИБ форумам:
• pd-forum.ru
• www.ib5.ib-bank.ru
• www.ib-bank.ru
Рассмотрим грубейшие ошибки, допущенные на каждом из сайтов.
По адресу www.ib-bank.ru/info.php нам, видимо, показывают с помощью phpinfo(), как правильно настраивать PHP для максимально удобной эксплуатации и заливки шеллов. Отмечу основные лулзы:
• allow_url_fopen – для того, чтобы шелл заливать было удобней;
• display_errors – вывод ошибок для удобства SQL injection;
• register_globals – старый конь борозды не портит;
Под CRLF Injection/HTTP Respose Splitting попадают
www.ib-bank.ru/index.php
www.ib-bank.ru/gallery/addfav.php
Форма восстановления пароля, расположенная по адресу http://ib-bank.ru/gallery/forgot_passwd.php, не содержит каких-либо признаков защиты от CSRF, надо полагать, для экономии трафика.

Также в наличии немного исходного кода и бэкапов:
www.ib-bank.ru/index.php_
www.ib-bank.ru/gallery/sql/schema.sql
По адресу http://www.ib5.ib-bank.ru/.htpasswd нас ждет хэш пароля в открытом доступе.
Вероятно, так надо по 152-фз, PCI DSS, СТО БР ИББС, я не специалист по ИБ, так что судить не берусь.
По адресу http://journal.ib-bank.ru/feedback нас ждет банальный множественный XSS.
Можете сами проверить, подставив во все поля
1" onfocus=prompt(1337) autofocus=true lol="
Только галочку «Я не робот» не ставьте, а то чуда не произойдет. Такая вот своеобразная нынче защита от роботов.
По адресу
http://journal.ib-bank.ru/template/modules/calendar/ calendar.php_
нас ожидает любезно забытый бэкап кода календаря.
На странице http://pd-forum.ru/qr.php можете задать вопрос регулятору и заодно увидеть опять множественный XSS.
Главное опять быть роботом. Текст для копипасты в поля следующий
1" onmouseover=prompt(1337) lol="
Файлы советую качать тут http://pd-forum.ru/files/
Они там, как и во всех директориях просто показываются списком.
Куски исходников показываются тут:
http://pd-forum.ru/index.php_
http://pd-forum.ru/prg.php_
http://pd-forum.ru/prg.php_old
То, что на всех этих сайтах cookie устанавливаются без httpOnly флага в данной ситуации, – это нормально.
Теперь внимение вопрос к знатокам: чем занимаются все эти люди?
Выводы об аудиторах, не делающих аудит себе, делайте сами, я свой уже сделал. Для меня «бумажный» аудит стал синонимом слова распил. В России по сути только Digital Security (привет парни) и Positive Technologies заняты делом, поэтому и признаны за рубежом. Ни в одной из этих компаний я не работаю, так что не считайте это рекламой.

Автор: 090h